骨灰级玩家 1024 妹,你们敢要吗?
两个橙子,中间摆了一根香蕉。
“嘿,二狗,你吃吗?”戴着眼镜的萌妹纸问道。
二狗:“香蕉太软...”
萌妹子脸不红心不跳的掏出一盒深色东西,淡定的说:“交个朋友吧~”然后诡异笑着走了。

对,这就是1024妹,很爱拿着薄片香蕉味的口香糖说,交个朋友吧。

从“婚恋”网站造福屌丝男「同城交友」

时隔大半年,开水又来投稿了……

搜索了 FreeBuf 上的内容似乎还没有学习央妈台,整治违规婚恋网站,保护网民安全之类等相关内容(如下图),倒是看到不少消息称草榴社区官方给广大会员发消息,称由于社区收到GFW攻击,网站数据丢失,恢复的可能性很小…于是在这个 520 即将到来也没被约会出去的 1024 妹开始琢磨着造福广大单身男性,为响应央妈台,1024 妹准备从违规“婚恋”网站(即同城交友网站)找出一堆数据给单身男挑选以及备用。


1024 妹的专属神器

1024 妹调出刚打造不久的神器,带着邪恶的表情,输入「Power by Discuz! 7.2 找情人」特征,开扫,发现了一堆 Discuz! 7.2 的 SQL 注入漏洞与代码执行漏洞的网站,嚯~随机开搞~

用「Discuz! 7.2的SQL注射漏洞与代码执行漏洞」对它进行注入检测

发现报错,有注入。

嗯 此时 1024妹发出感概,还是我的神器方便啊~ ~~

这个漏洞于14年就在乌云漏洞报告平台被爆出来,厂商修复后,可惜我们亲爱的站长哥哥们没有升级修复它,于是 1024妹的机会就这样来喽。

有注入就可以查到管理员的账号密码,登陆后台了:

第一次注出用户名的时候比较兴奋,也没有截图,等到后来开水说要写文章时候再次去访问, 1024妹家的IP出口似乎被Ban 了…

不好玩,这个69姿势网站(根据网站名特征取得,一下简称69站),继续拿出神器,开启批量模式,继续随机~

从注入到拿到管理员账号密码


于是,注出了管理员账户密码。

Discuz! 的密码是加了盐的,我没解出来哦,真的没解出来。但是如果被解出来,就可以登陆后台,Discuz!有数据备份功能,酱紫,就可以把数据库Down下来(圈内称脱库)。

就本次造福单身男事件我采访了下 1024妹,给广大想访问以及访问过这些网站的童鞋做个简单科普:

一般这些非法婚恋网站都有啥特征?

包含同城交友、情人、红娘、婚姻猎头、相亲、包小姐等关键词。

咱们普通网民访问后会不会跳转到其他网站?

不会(但是奇奇怪怪的广告会让你不小心掉入,它还会发出奇奇怪怪的声音)

那会不会记录IP?会不会让你的电脑成为别人的肉鸡?

不会(因为现在是个容易沦陷为被杀毒软件捆绑的年代,不用那么担心沦为战斗机中的小肉鸡了.exe了:))

PS:1024 妹不是开水哦,我啥都不会。

但是说好的造福单身男,要怎么造福呢?(对了,第一次用管理员账号进69站的时候1024妹看到了一堆会员信息,第二次嘛,1024妹不让我说,到底是看到了什么呢?)。不过,鉴定完毕,第一个网站备案了,第二个网站是非法网站,不得不感慨下,这些婚恋网站居然有WAF,还好不是用的加速乐,不然1024妹今晚就没法愉快的玩耍了。老老实实提交去喽,警察叔叔再见。

最后,祝大家生活愉快,夜深寂寞难耐,不要受奇奇怪怪的声音诱惑乱入违规网站哦,请记得1024妹的温馨提醒~ 

* 作者/刘开水,来自FreeBuf黑客与极客


认证信息  


纸盐(uid:1162) 2015-05-24  楼主 回复 收藏1