安基网 欢乐生肖 资讯 安全报 查看内容

某博彩网站遭小伙入侵,爆出惊天资金池。

2020-2-10 13:45| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 近年来很多黑客把目标锁定到了暴利的博彩网站,很多博彩平台开设在境外,由于平台内的资金池非常大,从事的行业又很多都是非法行为,所以很多黑客就打起了“黑吃黑”的注意,对这种赌博网站进行渗透和入侵,下边分享一个国外黑客入侵某博彩网站全过程!当然,大伙也可以私信我们,加群或者加入圈子,我 ...

近年来很多黑客把目标锁定到了暴利的博彩网站,很多博彩平台开设在境外,由于平台内的资金池非常大,从事的行业又很多都是非法行为,所以很多黑客就打起了“黑吃黑”的注意,对这种赌博网站进行渗透和入侵,下边分享一个国外黑客入侵某博彩网站全过程!

当然,大伙也可以私信我们,加群或者加入圈子,我们一起学习探讨!!!

对这种赌博网站,大多数都是存在很多xss和sql注入(主要还是xss比较多),另外一方面的话就是对类似的源码进行一个白盒测试,浏览器打开主页某个地址,弹出来一个“博彩网站”打开网站其实网站的程序跟普通博彩网站没什么两样,都是直接右上角注册,然后注册马上就可以玩各种彩票什么的。


网络上看看这类程序有没有什么安全漏洞,但是没有找到什么有用的,相对来说,研究看看有没有什么新的渗透这类网站的方式,其实看了整个网站,功能测试了多遍没有发现什么较大的安全漏洞。

测试支付接口的时候,他们很多地方都是直接要求用户转账来充值,充值有很多种方式,其中就有一个接口就是直接可以支付宝支付,输入个300元直接跳转到一个支付二维码。


直接访问这个接口主页,是一个支付平台样子是这样的,还打着“某某科技”估计是想让人以为是正规的支付渠道。

来到一个商户登录页面,这里面进去肯定有不少功能测试。


其实在此过程中已经对网站做了不少测试,在过程中把没必要写入的都省略掉了,所以过程都是直接写重点,挖掘的过程耗费比较长时间去找


其中我在一个JS页面找到多个有权限才可触碰到的操作js请求,但是其中有两个位置可以直接无权限请求,所以在测试漏洞过程中对于每一个点都要加以测试。


上图是js截图,像这样的还有十几条请求,简单的组合成post请求,可以发现请求返回 true 这样的返回包


但是在接下来简单输入个单引号直接就报错 sql错误信息,对多个字符进行测试,发现就单引号会报错,那肯定有问题的,测试and证明了存在SQL注入


1' and(select length(database())) = 18 and '1'='

18时报错证明长度18

过程大家都懂,得到了多个商户密码,其次这个网站一共就3个商户都是他们“赌博网站”的,登录第一个查看。


里面好几个银行卡号,其中账户里面有100多万人民币


他们还有一个后台,后台不方便截图出来,敏感内容较多,是这个支付接口的后台。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/i6791386587964899852/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
欢乐生肖 上海时时乐 幸运飞艇官网 澳洲幸运10开奖结果 秒速时时彩 湖南快乐十分走势 王者彩票APP 568彩票计划群 快乐赛车开奖 欢乐生肖