实战一次完整的博彩渗透测试

WK安全 2025-03-02 01:02

技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！！！

一、信息收集

1.锁定网站：xx.cc

2.查看服务器ip以及判断是否有cdn

存在cdn 下播- –

那么就看看网站有什么功能点能测试吧

注意到有一个申请进度查询 

ps：一般查询是要从数据库进行查询的 可能会存在注入越权什么的

返回了数据 难不成是测试账号？

在123后面加一个万能密码试试

我勒个豆 返回了13万数据 果然存在注入

接下来直接sqlmap一把梭哈！！！

打开万能yakit抓包 数据包复制下来 在存在漏洞的参数指定*号 这样sqlmap工具就会单独对它进行测试

有戏👀 继续无脑回车下去

拿下 数据库版本也回显了

也获取到相关数据库表名这些

后续由于没找到后台管理地址 遗憾下播了

通过官网下的app 感觉这个台子还是挺大的