1024妹如何优雅的用Discuz! 7.2的SQL 注入漏洞 造福单身男
戳右边括号,可以微博关注 1024 妹的更多消息(@刘-开水)
骨灰级玩家 1024 妹,你们敢要吗?
两个橙子,中间摆了一根香蕉。
“嘿,二狗,你吃吗?”戴着眼镜的萌妹纸问道。
二狗:“香蕉太软...”
萌妹子脸不红心不跳的掏出一盒深色东西,淡定的说:“交个朋友吧~”然后诡异笑着走了。
对,这就是1024妹,很爱拿着薄片香蕉味的口香糖说,交个朋友吧。
1024妹欲利用 Discuz! 7.2的SQL 注入漏洞 从“婚恋”网站造福屌丝男「同城交友」
时隔大半年,开水又来投稿了,搜索了 Freebuf 上的内容似乎还没有学习央妈台,整治违规婚恋网站,保护网民安全之类等相关内容(如下图),倒是看到不少消息称草榴社区官方给广大会员发消息,称由于社区收到GFW攻击,网站数据丢失,恢复的可能性很小…于是在这个 520 即将到来也没被约会出去的 1024 妹开始琢磨着造福广大单身男性,为响应央妈台,1024 妹准备从违规“婚恋”网站(即同城交友网站)找出一堆数据给单身男挑选以及备用。
1024 妹的专属神器
1024 妹调出刚打造不久的神器,带着邪恶的表情,输入「Power by Discuz! 7.2 找情人」特征,开扫,发现了一堆 Discuz! 7.2 的 SQL 注入漏洞与代码执行漏洞的网站,嚯~随机开搞~
用「Discuz! 7.2的SQL注射漏洞与代码执行漏洞」对它进行注入检测
发现报错,有注入。
嗯 此时 1024妹发出感概, 还是我的神器好~ ~~
这个漏洞于14年就在乌云漏洞报告平台被爆出来,厂商修复后,可惜我们亲爱的站长哥哥们没有升级修复它,于是 1024妹的机会就这样来喽。
有注入就可以查到管理员的账号密码,登陆后台了:
第一次注出用户名的时候比较兴奋,也没有截图,等到后来开水说要写文章时候再次去访问, 1024妹家的IP出口似乎被Ban 了…
不好玩,这个69姿势网站(根据网站名特征取得,以下简称69站),继续拿出神器,开启批量模式,继续随机~
从注入到拿到管理员账号密码
于是,注出了管理员账户密码。
Discuz! 的密码是加了盐的,我没解出来哦,真的没解出来。但是如果被解出来,就可以登陆后台,Discuz!有数据备份功能,酱紫,就可以把数据库Down下来(圈内称脱库)。
就本次造福单身男事件我采访了下 1024妹,给广大想访问以及访问过这些网站的童鞋做个简单科普::
一般这些非法婚恋网站都有啥特征?
包含同城交友、情人、红娘、婚姻猎头、相亲、包小姐等关键词。
咱们普通网民访问后会不会跳转到其他网站?
不会(但是奇奇怪怪的广告会让你不小心掉入,它还会发出奇奇怪怪的声音)
那会不会记录IP?会不会让你的电脑成为别人的肉鸡?
不会(因为现在是个容易沦陷为被杀毒软件捆绑的年代,不用那么担心沦为战斗机中的小肉鸡了.exe了:))
PS:1024 妹不是开水哦,我啥都不会。
但是说好的造福单身男,要怎么造福呢?(对了,第一次用管理员账号进69站的时候1024妹看到了一堆会员信息,第二次嘛,1024妹不让我说,到底是看到了什么呢?)。不过,鉴定完毕,第一个网站备案了,第二个网站是非法网站,不得不感慨下,这些婚恋网站居然有WAF,还好不是用的加速乐,不然1024妹今晚就没法愉快的玩耍了。老老实实提交去喽,警察叔叔再见。
最后,祝大家生活愉快,夜深寂寞难耐,不要受奇奇怪怪的声音诱惑乱入违规网站哦,请记得1024妹的温馨提醒~
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 准确把握守正创新的辩证关系 7976419
- 2 搞“人草大战” 副市长等9人被处理 7982054
- 3 32岁飞行员失联车内情况被还原 7881307
- 4 消费品以旧换新“加速度” 7710561
- 5 吴柳芳再被禁言 掉粉600多万 7667459
- 6 强占人妻区长人大代表资格终止 7505821
- 7 陈冠希晒女儿滑冰照片:她是天使 7433028
- 8 男子闪婚发现妻子结过7次婚6个娃 7359341
- 9 《新闻联播》披露他生前最后画面 7205266
- 10 王大发回应刘诗诗方公函 7111133