文章预览
又是阳光明媚的一天无意中翻啊翻啊 翻到一款资金盘 对资金盘这种诈骗的,诈骗老百姓的钱,在国外躲着,真是无话可说 资金盘plus呢 左看右看没啥东西,看看客服系统能不能打xss。 吊毛客服居然不在线,这套客服系统见过是whisper,之前审计过没有存储xss 但能通过伪造图片地址获取客服ip 这里直接提交内容里面加img src 然后就是漫长等待 终于客服点开了,发现是阿里云服务器,警惕性还蛮高 扫下端口看看 发现存在其他资产 应该是内部人员管理后台 尝试爆破,无果 翻看js文件 在js文件中找到一处get传参点 存在sql注入 直接dump Sql注入获取到管理员信息,登录后台 骗子真猖狂啊,必须拿下 找到一处上传点,getshell这不就来了吗 直接上传踢屁股 哟,没返回路径 正当没啥结果,准备放弃的时候 乱翻乱翻,翻用户跟客服的聊天记录 还好聊天后台会返
………………………………