如何记录一次成功黑入并盗取网站账号的经历?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1753个文字,预计阅读时间需要8分钟。
记录一次黑入网站后台事件:某学校群聊又有被骗了,发了类似这样的内容,点进去一看就是假冒成QQ邮箱或QQ空间后台的网站,骗取QQ账号密码。随意填写账号密码后,就有验证码验证,一旦填写,账号即被盗取。
记一次黑入盗号网站后台 事件起因:某学校群聊又有人被骗了,发了类似这样的内容,点进去一看就是伪装成QQ邮箱或者QQ空间后台的网站,骗取QQ号码。
随便填写账号密码后,有一个假的学籍查询表单,让你填一些敏感信息啥的(黑入后台后发现居然真有人写了,汗)。突然心生一意:要不试试SQL注入看看?
过程 1、分析后台接口直接浏览器F12,点开网络,然后随便输个账号密码,点登录,就抓到登录接口了。
负载payload里可以看到请求的参数为u、p、step三个参数,此处图片就不展示了。
设置u为‘and 1=1 即出现select的报错提示:
再设置为'and 1=1 #10086,此时出现insert插入失败的提示
看来后台是先select一遍数据库确定该用户此前不存在,再insert到数据库里的。从insert内容可以看出会记录ip和地址等信息,因此单ip下发送大量垃圾信息也可以轻松过滤掉。
本文共计1753个文字,预计阅读时间需要8分钟。
记录一次黑入网站后台事件:某学校群聊又有被骗了,发了类似这样的内容,点进去一看就是假冒成QQ邮箱或QQ空间后台的网站,骗取QQ账号密码。随意填写账号密码后,就有验证码验证,一旦填写,账号即被盗取。
记一次黑入盗号网站后台 事件起因:某学校群聊又有人被骗了,发了类似这样的内容,点进去一看就是伪装成QQ邮箱或者QQ空间后台的网站,骗取QQ号码。
随便填写账号密码后,有一个假的学籍查询表单,让你填一些敏感信息啥的(黑入后台后发现居然真有人写了,汗)。突然心生一意:要不试试SQL注入看看?
过程 1、分析后台接口直接浏览器F12,点开网络,然后随便输个账号密码,点登录,就抓到登录接口了。
负载payload里可以看到请求的参数为u、p、step三个参数,此处图片就不展示了。
设置u为‘and 1=1 即出现select的报错提示:
再设置为'and 1=1 #10086,此时出现insert插入失败的提示
看来后台是先select一遍数据库确定该用户此前不存在,再insert到数据库里的。从insert内容可以看出会记录ip和地址等信息,因此单ip下发送大量垃圾信息也可以轻松过滤掉。