关注我们
QRcode 邮件联系 QRcode
主页 » 信息安全 » 正文

巧进非诚勿扰—飘柔“爱转角”网站后台

 feng  641 ℃  0条点评

作者:阿峰
博客:www.afeng.org
转载请保留~谢谢

某日,很无聊,就去看综艺节目了,扯淡的节目,只有无聊的时候才会去看,刚好排在第一位的是江苏卫视的非诚勿扰,话说我还没有女朋友,就去看看吧...

最后一位男嘉宾刚好是山东的,被台上的24位女嘉宾都给pass了,但是跟飘柔爱转角的女生牵手成功了,恰恰也是山东。然后就想对爱转角的女生了解一下,百度之。

打开后看到是一个flash网站,页面也不多,就是简单的介绍和报名,然后习惯性的在网址后面加了admin

真的是习惯,没有别的意思,也没抱有任何希望。后台的登录页面竟然出现了,七分技术,三分运气,一点都没错,呵呵。

(在发表此文章的时候,网站已经修改了默认后台地址。)

那就尝试一下弱口令吧,无果,这么大的网站,再弄个弱口令,岂不是对用户的不负责呢?

输入单引号,竟然报错了...

 

未命名.jpg

跟某基友讨论了一下,有戏,根据报错提示,利用万能密码 admin'or'1=1

如果密码=输入的密码,那么登陆成功,把admin' or '1'='1带入即“如果密码=1或者1=1那么登成功”由于1=1恒成立,
且“密码=1”与“1=1”是逻辑或的关系,则整句为TRUE,即登陆成功。

在后台可以查看所有报名非诚勿扰爱转角的女生,包括姓名,手机,照片等等...来张图吧~

3.jpg

 
粗略估计了一下,大概3000条数据吧...没有再进行下一步动作。
然后就通知了飘柔爱转角的官方微博,也没回应我...直接不鸟我~
好吧,或许是你妈妈没有教育好你,连声谢谢都不会说,或许是你们不敢承认面对,难道把裤子给你们脱了,你们才出来吱一声?
面对这样的厂商,要狠狠的批评一下,根本不在乎用户的资料。

本文标签:
利用aspx构造注射来跨站
Access数据库注入点高级运用总结
​分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)​分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)安全应急响应工具年末大放送(含下载)安全应急响应工具年末大放送(含下载)中国将出台网络安全审查制度中国将出台网络安全审查制度红黑联盟现场培训(脱产)第一期开始咯红黑联盟现场培训(脱产)第一期开始咯

已有0条评论,欢迎点评!

smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley

国际惯例, 沙发拿下 . . .


注册帐号  |  忘记密码