xChar
·a year ago

之前删掉了

回想上一次渗透还是在一九年,妈的脑袋空得一干二净😅

事件起因

前几年玩的又花又杂,在多个黑灰产行业都涉略过,所以看完孤注一掷之后变得非常义愤填膺。
94a1b858a53403ea2f42a0dd1277832
三刷完之后我把我所有的邮箱都找了个遍,但是并没有什么卵用。

直到有一天我的收件箱,对没错,是收件箱投递到了一封垃圾邮件。
太逆天了,居然没跳垃圾箱。

1692877033053
终于来了,激动的心,颤抖的手

邮箱入口

代发域名没有解析,发送邮局访问是个IIS,丢去fofa
1692877158836
应该是个专门发垃圾邮件的服务器,没什么好查的

二维码解析

解码先

1692877481054

看来就是这个网站了,立即对其实施精准渗透🤣
是个利用微云共享文件的活码,再次获取到网站地址

短链重定向下跳了两层网址,明显是通过对正规网站的跳转达到避过网址安全检测的目的
这个跳转的方法不失为一个好法子,兄弟们我决定先去给菠菜做码,我们江湖再会🤪

对url内base64解码得到第二层跳转网址,第二层是百度旗下的服务,暂时没看出来是哪块的
1692878078435

得到故事的主人公了

1692888998020

网站外围

1692878319416

直接访问会跳转到百度的错误页面,看来是UA过滤了

别急,我有User-Agent Switcher and Manager
1692878377033

1692878501063
进去了,那先看一下网站的结构

1692878558486
是伪静态,任何/h8的路径名都会回到cms内
搜索框也用不了,看看跳出h8,报错了

1692878652837
查了下发现是若依的系统,但是网站有跳板或者白名单错失,回/login还是会跳转到百度的错误页面
那针对后端没法整了,丢去fofa查到了一个cname和一个ip

1692886695877
1692886721142
是一堆站群,再查下去也没意义。扒拉了两下源站发现没啥子可玩性,下回祭出端口扫描了

这个cname倒是挺统一的,丢去whois查一下
1692886926471

网站内部

看一下源代码

1692888028929
结合前台实在看不出是什么cms,又有层base64,先解解看吧

1692888115971
得,新域名

1692888138159

1692888170108

看不出来什么cms了,看来想在网站层动点什么是没办法了

支付端

观看视频需要付钱
1692888538140

1692888571048
有点眼熟,是源支付,打不进去
1692888636491

剩下还有个支付宝的感觉是自研,还带谷歌验证码
1692888760069

1692888789302

怎么他妈现在开h网的人这么有技术了之总结

菜的抠脚,属于是自己都看不下去在干什么的程度
原本还想进一步挖挖看的,现在直接大脑宕机了,还好域名什么都在国内,整理下有关资料发给网安的朋友了😶

Loading comments...