世界上什么东西也替代不了持之以恒,才华不能够,因为不成功的才子到处都是;天赋也不能够,因为这个世界上到处是受过良好教育的乞丐。惟有正确的方法和持之以恒才是万能的。万法相通,哥哥已经多年没接触黑客技术,但入侵网站的效率反而更胜从前。
入侵思路
1、从H网站获取大量的菠菜网址域名
2、把收集到的域名放到漏洞检测软件里面进行扫描。
3、找到有漏洞平台,植入木马,等待有管理员登陆,获取后台管理员账号密码
4、成功入侵网站后台,接下来你懂的!
一)获取大量菠菜平台域名
众所周知,互联网上黄赌不分家,菠菜平台最喜欢就是到各大“成人学习网站”上打广告,各种亮瞎眼的广告图片背后都藏着不同的平台,所以先从这下手
无论多么严密的系统和安全措施,终究是人在操控,人才是漏洞的根源。
* 弱口令批量入侵
做网站时,先要将网站源码上传到服务器。FTP就是上传源码到服务器的软件,因此只要获得网站的FTP密码,这个网站的所有数据就唾手可得。总会有一些网站的密码非常简单,如上图某网站的密码是123456;通过搜索引擎采集大量黄色网址,然后用软件自动扫描,成千上万个网站中,总会有那么几个网站的密码很简单,因为这些网站可能是某些站长做出来就没去管理过的。
经过一个下午的采集分析,拿到了大概5万个菠菜平台的网址,接下来就是要分析这些网址有没有存在漏洞。
二) 漏洞批量入侵法
哥哥随手搞了下,轻松拿下几万个网站的网址,这其中包括大型集团、金沙、新葡京、威尼斯人,银河娱乐…
“struts 2”是个网站应用框架,程序员在struts2框架的基础上能方便快捷的开发出各种网站。但这个框架在2014年~2018年期间,出现8个漏洞,无数大型网站沦陷,堪称黑产圈的狂欢节。
虽然是老漏洞了,但这个行业每天都有那么多新的平台涌现,必定还有很多网站比较幸运,没有被入侵,就拿这些幸运儿开刀吧,这就是我这次的目标。
使用“struts 2”框架做的网站,网址通常会包含一个单词“action”。
用百度高级指令搜索,inurl:action,意思是搜索所有网址中包含字母“action”的网站。
为了提高效率,哥哥用软件批量在百度采集网址,如下图
将采集的网址导入“struts 2漏洞软件”,软件能自动批量检测。
0.5%以上的网站存在漏洞,毕竟成熟的平台都修复了这个漏洞,这次能不能找到也要看运气了。
三)植入木马,获取后台账号密码
吃饱一顿饭之后回来看是否有收获,看来今天运气还行,找到了一个幸运儿,下图是某平台的测试结果,可以随意查看网站的任何信息,包括服务器的配置、安装了哪些软件、最重要的是拿到了后台地址。
为了更方便的看到监测网站的数据,百度搜索“jsp木马”,随便找一段代码上传到这个网站。
打开木马,现在就是静静等有管理员登陆这个后台,就可以获取到他的账号密码了,嘻嘻~
钓鱼的时候需要点耐心,一根烟的时间过去了,很快鱼就上钩了,成功拿到一个后台人员的账号密码。
四)成功登陆后台
Bingo,成功黑进了一个后台,看用户注册时间,是一个还在运营的平台,后面要做的事就简单多了。
看下出款记录,避免是黑平台或者杀猪盘,出款一天流水也有百万级别,今天运气不错,中奖了!
拿到他的其中一个代理链接,我们进前端看下长什么样。
是一个主要玩彩的平台,自己先来试试水,测试下功能,注册一个号,后台上个分试下,先试下上100分玩下。
上分秒到,哈哈哈,菠菜平台都会有风控规则,小心点玩应该不会被风控的人发现,玩10分钟看下能不能下分~