文:潜伏者
菜文一篇,小弟不才。请多多指教!
现实上的一个朋友丢了一个CSOL战队的网站–www.xxxxxx.9v0.cn过来,叫我看看。我就打开看了下,发现了原来是一个免费网站。。
我简单看了下,没有发现任何注入点和可以上传的地方。然后灵感忽然来了。我在他网站发现了一个QQ号,我就想这个应该是管理员用的QQ号。好吧,我就社工他,
哈哈,想要的东西来了
不知道哪位哥们那么好心,既然把他的QQ帐号密码也送出来。帐号:XXXXX7552–密码:zhangyingjie1993
晕,后面还有个日期。。2008年的,离几年就有2年了。我就想已经会不会修改了,不管那么多。先试下吧。
登陆是登陆上去了,想不到问题又来了。这小子既然绑定了密保卡。
这下可把我难住了,我想了一下。虽然他的QQ登陆不上去,但会不会QQ邮箱可以进去呢?
如果可以登陆进去的话,说不定QQ邮箱里有不少好东西。好,说干就干。TMD,这小子还真。。
邮箱都设置了个独立密码,我又返回到了搜索到的,看到了这个。
2010年7月4日 … 最新版YY多开器是kXXXXX7552在800免费网络硬盘上 共享给大家的,供大家免费下载,本站只提供免费存储空间. 此文件属于上传者kXXXXX7552版权所有。 …
我就想,这个应该是他用过的帐号。好,用他试下一下。哈哈,还真进来了。
接下来我就返回了他的战队网站看看了。
我试着用帐号:就是他的QQ帐号:xxxxx7552 密码: kxxxxx7552 在会员区登陆了下
结果显示
再来,帐号换成:kxxxxx7552 密码:kxxxxx7552
可能我是因为人品太好了,又一次成功。然后我就打开网站管理登陆面,用刚才登陆进去的帐号:kXXXXX7552 密码:kXXXXX7552
结果出来了,
啊?难道说会员密码和管理密码不一致?继续,返回他的QQ邮箱查看下邮件。或许能找到他常用的帐号和密码。我简单找了下。发现了这个邮件,打开一看。果然有他在别的网站注册的帐号和密码。
关键在这里:
您的注册名为:kxxxxx7552
您的密码为:kxxxxxxxxxxx (一看就知道是他的手机号码)
好,再来试下。TMD.RP太好了,没办法。
果然不出我所料,进去了。接下来就不拿webshell了。是人都知道,这个管理后台和他的战队网站根本不是同在服务器的。http://www.xxxxxx.9v0.cn http://my.gkk.hk
不过呢,权限已经充足了,几乎拥有他的所有权限了。哈哈
