3
回答
看我如何搞掉基友的网站,破解网站会员的邮箱以及密码
滴滴云服务器,限时包月0.9元,为开发者而生>>>   
1.文章难易度【★★★】
2.文章作者:安春秋
3.本文参与i春秋社区原创文章奖励计划,未经许可禁止转载

0x01:事件起因

昨天下午闲来没事,在基友的群里聊天,我们聊的火热,管理员说这个群我只服我基友,不得不说我这个基友确实厉害,能让现任和前任和平相处的人我也服,哈哈…不过男人都是好强的,爱面子,我就发了一句实战破解基友的网站管理员密码,“特么的,来呀!来,来互相伤害”基友说了这么一句。有妹子,这能不来吗?

0x02:信息收集

Whois查到注册人信息及邮箱,以及一些没多大用的信息用WebScan扫描了一下,获取到网站的目录结构

   

 

这里可以有一些可利用信息列表:密码登陆过的url、隐藏的表单、服务器信息、PHP框架以及邮箱,

总体来说还是不错的,扫描神器在本文后面可以下载。我用过最牛的扫描神奇就是这个工具了https://bbs.ichunqiu.com/thread-15451-1-1.html

0x03:开撸

打开网站看了几篇文章,发现有sql注入点,直接用御剑跑了一遍,又发现了一个好东西

 

可以登录数据库的url,有点鸡冻。。。  

直接打开url

 

 


 
试了几遍弱口令和低权限登陆,没成功,最后利用社工猜解到登陆密码

 
 

登陆进去可以看到一些是数据库名以及修改数据库密码

 


 
修改成功,不过后来我又改回来了,万一基友暴怒把我的照片放到网上怎么办。。。  
 
 

0x04:破解数据表中的邮箱及密码


查看数据表,如果你不知道数据库中有什么,就多番几遍,细心点,你会看到很多有用的东西,还是得多实践,
当我打开那个打马赛克的数据表,找到了里面的blog_user,打开之后
 


吓死宝宝了,没网了,这种千年等一会的事我都能碰到


 

刷新之后


 


表中有注册邮箱,MD5的密文(解密之后就是登录密码)以及注册ip地址和会员名称。破解之后你就可以登录网站嘿嘿了


 


下面是我破解的过程,表弟找了几个解码的网站,这两个网站中破解还是比较靠谱的www.dmd5.com 

破解了管理员和另外一个人的密码(我可是守法的三好青年,从不做坏事)
 


 

0x05:总结

至此,基友的网站就被我破解了(日完了),也花了不少时间,总结了一下,善于利用身边的任何资源、细心点、心态放好就一定会找到漏洞的。
非常感谢i春秋给我这么大的平台,感谢各种CCTV、感谢近期来i春秋的各位大表哥的照顾,在这里希望和各位表哥、老司机一起学习,一起进步。

<无标签>
举报
i春秋学院
发帖于8个月前 3回/552阅
顶部