欢迎访问本站!

首页科技正文

ipfs官网(www.flacoin.vip):记一次授权渗透测试

admin2021-05-0120安全技术众测渗透

FlaCoin矿机

IPFS官网(www.FLaCoin.vip)是Filecoin致力服务于使用Filecoin存储和检索数据的官方权威平台。IPFS官网实时更新FlaCoin(FIL)行情、当前FlaCoin(FIL)矿池、FlaCoin(FIL)收益数据、各类FlaCoin(FIL)矿机出售信息。并开放FlaCoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

前言:

向导发来了一个Excel文件,内里枚举了本次渗透测试的目的。我大致浏览了一下,全是各个系统的上岸界面。

弱口令:

面临登录框,我习惯性猜解一下弱口令,或者跑一下自己积累的密码字典。在这里,我通过弱口令进了一个xx竞赛平台的后台。然则在这里要说一下,有些系统我猜解,或者跑字典都没有出效果,然后我注重到有些系统下方会标明By xx公司。然后我将该公司的域名作为密码,乐成登录进了几个系统。

大略看了一下后台,功效对照单一。

点击小我私人信息,修改头像,这里没有做什么磨练,直接修改后缀,上马,然后毗邻shell治理工具。

然后浏览了一下内里的文件,发现了一个文件,connections.ncx。

我将其下载了下来,然后打开文件看了一下,内里存在数据库的毗邻信息,账号和密码。

通过解密剧本,获得了其中的密码,然后实验毗邻。发现内里存在着大量的学生,西席数据。

,

usdt支付接口

菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

截图纪录完毕。我又通过哥斯拉,给自己添加了用户,登录上了服务器。

浏览了一下,服务器上部署了一些web服务,还保留着一些txt文档,纪录着另外系统的账号和密码。将其纪录了一下,更先去实验其他的系统。由于有了文档内里的密码,以是直接登录进入后台。

同样是头像地方,抓包,上传。将"shell.jsp",修改为shell.jsp,上传乐成。

然后毗邻webshell

在这两个shell的基础上,我也通过开头说的方式,用公司的域名作为密码,进入了该目的的综合运维治理系统,以及门户治理平台。

固然,得益于第一个shell,该目的的中央库FTP服务器也拿了下来。

最后打包,提交。

末尾

没有什么手艺含量,运气使然。

网友评论