查看: 32320|回复: 14

再一次实战友情检测大型某房产门户网

[复制链接]
  • TA的每日心情
    擦汗
    2017-8-22 16:10
  • 签到天数: 93 天

    [LV.6]常住居民II

    发表于 2016-1-20 19:27:04 | 显示全部楼层 |阅读模式
    从-------------新手---------------菜鸟--------想进入08--------无奈那个时候投稿总不通过-------现在看来以前的投稿真的很差劲---------------
    希望更多朋友参与进来
    ---------------------------------------------------------------------------------------------------------------------------
    插播一段广告
    ------------------------------------------------------------------------------------------------------------------------------------
    昨晚检测某政府网站发现是一个通用型防注入系统
    所以顺藤找到程序制造商
    下载了看了一下,一个通用型sql防注入系统
    凹yaya aspcms新闻系统
                php
    我只看了asp
    谷歌搜索,20w,索引量
    涉及到 政府 教育 企业  医院   行政   
    我公布出来,你们也要且拿且珍惜
    关键词

    inurlnews.asp?id=


    也没去看 补天 和乌云  有人提交没有
    毕竟小厂商,乌云 360 是不会通知的
    真的
    昨天wooyun 被爆菊 在360平台公布
    双方网站被ddos

    打了这么多字各位管理大大多给我加点金币好不好啊
    我要买xss平台差好多钱啊



    微博好友互加            http://weibo.com/webitent/home?wvr=5            
                                                                                                                                            广告插播完毕

    -------------------------------------------------------------------------------------------------------------------------------------
    论坛都有   app  我大诺基亚表示不服。差评。。。。。。。。。
    win10系统     
    完爆 ios  和 安卓   
    系统很流畅
    所以管理大大们,加个班
    (*^__^*) 嘻嘻……
    ------------------------------------------------------------------------------------------------------------------
    上次打码打失误菊花被爆了一地
    http://www.08sec.com/thread-7532-1-1.html
    还有朋友说毫无亮点
    ---------------------------------------------------------------------------------------------------------
    论坛朋友一个拿shell的 科讯
    http://www.08sec.com/thread-7550-1-1.html
    我试了很多次,就一个利用点 sql执行
    但是sql写文件总是失败
    我记得我以前就是用sql拿的shell
    网上的方法都一样的
    所以某位有能力去帮他一把。
    对不起哈这位朋友。我能力有限,所以要继续前进
    -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

    这次我就来一个1000w的电灯泡
    360截图20160120180450048.jpg
    360截图20160120180953168.jpg
    这些对我没用
    打码只是防护某些牛,爆菊花拿去做黑帽
    见谅了
    言归正传
    探测-----
    服务器是iis8.0
    采用的08cms

    QQ截图20160120181520.png
    好吧一个敏感信息都没有我晕死
    去百度找08cms 漏洞
    好吧没有最新漏洞,这里就不截图
    迷们自行百度
    跟着我的脚步走往下看
    端口
    QQ图片20160120182157.png
    清楚的看到
    80----8080--80801----21---
    看到21端口就想起了ftp
    360截图20160120182416000.jpg
    上工具爆破
    边爆破边看其他方法
    注册会员
    360截图20160120182623119.jpg
    注册个会员试试能不能突破了
    QQ图片20160120182900.png
    什么
    what are you do?
    祭出神器
    burpsite
    who is
    我晕
    神器估计没吃药
    QQ截图20160120183509.png
    完了完了
    思路打断了
    于是回到 站长工具看了服务器不是 iis8.0吗
    思路又来了
    上传一句话图片马
    360截图20160120183827451.jpg
    神器的天线宝宝的我在后面加了个
                         /.php
    360截图20160120184020814.jpg
    菜刀连接成功
    上传免杀木马进服务器
    360截图20160120184408366.jpg
    好了,由于时间有限,提权部分就改天送上来
    啦啦啦啦啦阿拉拉爱啦啦啦啦啦啦啦啦啦啦安安啦啦啦啦啦
    听说某sss论坛招收vip了看到学费我就笑了了
    800元
    然而我去下载了他们的教程
    听说是一期莫部分
    看了我不说话
    我分享给大家
    来自某论坛---------------------------------------------------------------------------------------------------------------------------------------------------------------
    本期教程只针对0基础及新手,超过这个阶段的自动绕过

    教程目录:
                  《前言》           这个前言希望大家务必看看,是我录了好几遍的......很重要
    第一课:《sqlmap的安装》
    第二课:《利用sqlmap注入并且进入后台拿shell》
    第三课:《burp的安装和设置》
    第四课:《利用burp改包拿shell》
    第五课:《实战某骗子网站》
    第六课:《实战过狗提权》
    第七课:《分析免杀马后门以及日webshell箱子思路》
    第八课:《webshell绕过安全狗》

    其实本来教程是 16课的,很多主流cms以及提权方面的细节都没来得及录制。

    下一期教程不知道什么时候出来,这要看新手们的消化速度快不快了。

    希望看了教程的朋友在下面留个言,但是不要灌水、发现多次灌水封号处理。

    我谨代表SSS感谢大家的支持、希望大家多多提供好的建议!

    好吧,废话不说了,我想说的都在《前言》中了

    教程下载地址:
    本帖隐藏的内容

    http://yunpan.cn/cdYcUVfUcgNWt (提取码:c84a)
    ----------------------------------------------------------------------------------------------------------------------------------------------------------------
    不过这位管理大大叫95zz技术真心很好,不吝祝福-------祝福他论坛越来越火
    =============================================================
    大家不要盲目的去拜师学习,这些不是骗子就是忽悠你
    说实话分享我的一些经历
    当初踏上的时候我也希望找个师傅带带我
    以前看到剑眉大侠这个sb
    就想去拜师 学费888 你就可以学习 黑阔技术了
    还好当初是个穷逼
    不然真的888 就没有了,我一个朋友就被坑了                                    可以
    真的不骗你们
    -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
    想建议管理们开发一个貌似漂流瓶的程序,我在谋论坛看到一个,很久了那个网站貌似也关闭了。能够在大海里捞到成员说的心情,可以回复,还有音乐。这样我们每天发完帖子还可以社交一下,说不定就有女朋友了呢
    所以各位管理大大,能够辛苦点,
    如果数据费用支撑不了,我是08人
    ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------


    最后我希望--------------------------------------------------------90大大----恳请--你--能否给我一本php学习内的书籍,---很想学习代码审计这方面的知识先自学,最后才打算去北京传智播客去求读---------------------------------我知道你家中安全方面的的书籍堆得比我高中书籍还多
    -----------------希望你能送我一本-------还有签名哦----------资金最近很紧张挣的钱都打回家里去了-- -----

    评分

    参与人数 4i币 +35 收起 理由
    细草微风岸 + 3 我板砖诺基亚表示不服!!!
    浮尘 + 20 我大诺基亚表示不服!!!!!!!!
    Antergone + 10 加油~
    clocks + 2 感谢分享

    查看全部评分

    回复

    使用道具 举报

  • TA的每日心情
    开心
    2017-9-13 00:40
  • 签到天数: 444 天

    [LV.9]以坛为家II

    发表于 2016-1-20 19:41:25 | 显示全部楼层
    帮你顶一个。希望90会把他的珍藏本给你
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2017-8-22 16:10
  • 签到天数: 93 天

    [LV.6]常住居民II

     楼主| 发表于 2016-1-20 19:50:27 | 显示全部楼层
    这次我就不信你们还能爆到我菊花,难道你们做个搅屎棍真好吗
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2020-1-16 21:33
  • 签到天数: 175 天

    [LV.7]常住居民III

    发表于 2016-1-20 19:57:47 | 显示全部楼层
    这里说一下  诺基亚的win系统说实话还是比较小众,开发可能比较小,开发成本也不小。建议用www.ihonker.org这个域名访问论坛啦。给你加分

    点评

    习惯百度 08sec了 嘻嘻  详情 回复 发表于 2016-1-20 20:11
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2017-8-22 16:10
  • 签到天数: 93 天

    [LV.6]常住居民II

     楼主| 发表于 2016-1-20 20:11:28 | 显示全部楼层
    Antergone 发表于 2016-1-20 19:57
    这里说一下  诺基亚的win系统说实话还是比较小众,开发可能比较小,开发成本也不小。建议用www.ihonker.org ...

    习惯百度 08sec了  嘻嘻
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2020-8-18 16:06
  • 签到天数: 153 天

    [LV.7]常住居民III

    发表于 2016-1-20 21:31:52 | 显示全部楼层
    还好。感谢分享、本人支持08安全团队。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2017-10-1 06:59
  • 签到天数: 308 天

    [LV.8]以坛为家I

    发表于 2016-1-20 21:50:43 | 显示全部楼层
    现在还能碰到iis8.0解析漏洞不打补丁的,楼主RP好到爆了,可以试试买彩票了~
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2017-2-7 13:38
  • 签到天数: 124 天

    [LV.7]常住居民III

    发表于 2016-1-21 08:40:29 | 显示全部楼层
    请问楼主有时上传马,比如说php的,会被更改为 _php, 而不是.php  肿么突破,
    那个爆破的软件能不能发一下呢?
    easonhqy@163.com     谢啦

    点评

    我也遇到过,估计网站有护卫神,护卫神最爱做这种了,看他是拦截后戳还是内容 ftp爆破吗 百度找的  详情 回复 发表于 2016-1-21 20:21
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-1-28 18:55
  • 签到天数: 17 天

    [LV.4]偶尔看看III

    发表于 2016-1-21 19:52:30 | 显示全部楼层
    感谢分享  对新手的帮助
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2017-8-22 16:10
  • 签到天数: 93 天

    [LV.6]常住居民II

     楼主| 发表于 2016-1-21 20:21:24 | 显示全部楼层
    我叫齐齐 发表于 2016-1-21 08:40
    请问楼主有时上传马,比如说php的,会被更改为 _php, 而不是.php  肿么突破,
    那个爆破的软件能不能发一下 ...

    我也遇到过,估计网站有护卫神,护卫神最爱做这种了,看他是拦截后戳还是内容  ftp爆破吗
    百度找的
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-22 19:39 , Processed in 0.028079 second(s), 16 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部