火星链 火星链
Ctrl+D收藏火星链
首页 > 币安下载 > 正文

TPS:不用cookie 一个盲打储存XSS对“某btc平台”攻城略地

作者:

时间:1900/1/1 0:00:00

首先说一下,其实“这类”文章土司论坛是有的,只是大家很少去翻。今天简单的分享一下。

前一阵一直在玩比特币,但是无奈又TM站在了人生的最高点,别问我为什么用“又”,WCTMD投了1500最后剩几十元。然后这次的目标是朋友推荐的一个站点,据说送币子,注册就送。。。

这篇文章主要讲的是思路,还有XSS平台的使用。。。没有思路你只能止步不前。某日对某站点。然后我就随手测试一下放了一段XSS代码,然后没过多久发现,我的邮箱居然收到了XSS平台发来的信息,然后登录XSS平台一看,发现居然有收货,很是意外,这就是传说中的盲打XSS,然后简单的看了一下,如下图。

既然有cookie,还有后台地址,那么尝试登录一下吧。结果发现。登录不进去,跳转到了登录界面。

经过查看,估测应该是打到的cookie有问题,对方可能设置了httponly,这样对方网站关键的cookie我是获取不到的,那就无法登录对方的后台。不过这里看到一个好消息,那就是对方网站的后台对外开放,在互联网上居然可以访问。那就妥妥的了。咱们继续看刚才XSS平台收到的信息,这里已经收到对方中招的后台URL地址了。

后台地址:

波卡创始人:波卡验证节点尽快降级版本至0.8.30,Kusama验证节点不用降级:波卡创始人Gavin Wood表示,波卡验证节点请尽快降级版本至0.8.30, Kusama验证节点不用降级。[2021/5/24 22:39:27]

https://xxxx.com/admin/userCert/index

还有这个地址的html源码,如下图:

这里要注意,很多时候获取到的对方的html源码都是“相对地址”,需要你自己补全为“绝对地址”,上图中红色的就是相对地址,没有网站的域名地址,绿色圈中的就是绝对地址。把源码中的所有连接地址都补全像图中绿色圈中的样子。

然后本地打开(因为对方的后台对外开放,互联网可访问了),所以补全后,我们本地打开。如下图:

这里可以看到,他人实名信息,这里有身份证正反面,还有手持照片。为了好奇,我点击了一下其中一个手持照片。地址如下:

https://xxxx.com/admin/userCert/getImageFile?fileId=M00/00/06/rB_4MxxxxxBBBG87xTGg.bbbb

当然我打开这个地址的时候,URL直接跳转到了登录界面。没办法,毕竟没登录。没办法登录,那么刚才一直什么补全html中连接为何?这里先不做解答,卖个关子,先说眼前的问题,这个图片看不了怎么办?就在我在前台,也就是用户界面操作各个功能的时候发现。

动态 | 广东省税务局:利用区块链等技术 全面升级为“一次不用跑”:近日,广东省税务局正式发布公告,在全省范围内实行办税费“一次不用跑”,并发布涉及的100项办税费事项清单。在“一次不用跑”试点过程中,广东省税务局鼓励各地税务部门在“电子办税为主、自助办税为辅、实体办税兜底”的智慧办税格局下,探索智能办税新路径,开展个性化服务创新,将“最多跑一次”事项清单与“全流程无纸化”“互联网+”“云计算”“区块链”“人工智能”等紧密融合,全面升级为“一次不用跑”。(央广网)[2020/2/6]

我们看一下咱们上传的这个图片地址。

https://xxxx.com/portal/getImageFile?fileId=M00/00/06/rB_4MVxxxxxxAMtVc.aaaa

然后这里我们在返回看一下后台的读取图片的地址。

https://xxxx.com/admin/userCert/getImageFile?fileId=M00/00/06/rB_4MxxxxxBBBG87xTGg.bbbb

相信聪明的你是不是已经思路打开了呢?

如果我们吧后台URL地址的红色的那个值替换到上面个人中心那里,是不是就可以显示了呢?

声音 | 陈伟星:不用在战略上担心政府打压区块链:今日,陈伟星发微博对区块链所出现的欺诈行为表达了自己的观点。他认为,金融的核心在于制定估值模型,不是喊单、拉盘。但喊单行为是所有二级权益市场的通病,并不局限于币圈。任何投机市场都有欺诈性投资、等犯罪问题的出现,区块链也不例外。此外他表示:“我们中国是唯物主义政党,也是布尔什维克主义政党,也是热衷于与“邪恶”斗争的政党,只会“过度”尊重科学、“过度”追求人民福利,所以不用在战略上担心政府打压区块链,需要担心的是子混淆视听,让政府错杀无辜。”[2019/1/4]

https://xxxx.com/portal/getImageFile?fileId=M00/00/06/rB_4MxxxxxBBBG87xTGg.bbbb

我访问了一下这个地址。然后如下图:

这里其实想说明的是思路很重要。要利用一切可以利用的。当然了,获取他人信息不是咱们的主要目的,咱们要直捣黄龙,说好的。

小插曲暂时停一下,继续刚才那个补全html开始

这里要重点说一下,为什么要补全html呢,其实不光是为了看样式,它的重点在于让你通过html源码能对对方网站结构有一个大概的梳理。这里我给出重点的html源码中的内容。

动态 | 日本国税厅:通过分叉获得的虚拟币在交易之前不用征税:据crypto.watch消息,日本国税厅11月21日发布了“虚拟货币关系常见问题解答”中有虚拟货币税收问题的解释。企业通过虚拟货币交易应纳税,个人分业务收入、继承税和赠与税,通过分叉获得的虚拟币在交易之前不用征税,个人薪金由虚拟货币发放的不用征税。挖矿获得的虚拟货币以采集时间的公允价值计算,矿机和其他费用也会计算。[2018/11/27]

1

2

3

4

5

整个HTML源码中的内容,也就这一块。通过分析这段HTML代码,可以大致分析出网站如下结构。这段是HTML代码里面的JS代码,网站的大部分功能都是ajax操作的。

网站后台首页地址:

https://xxxx.com/admin/或者https://xxxx.com/admin/index

网站后台会员列表页(经过测试,这个页面确实是正常访问的网站会有列表页,但是这个页面会通过ajax调用其他页面来显示数据):

https://xxxx.com/admin/userCertx/

声音 | 陈军:联盟链可以不用发行代币进行激励:本期金色相对论中,对于无币区块链的共识及其技术如何应用在场景中,杭州量子大学区块链研究院联合执行院长陈军表示,无币不是没有Token,它是区块链记账的一部分,只是当没有资产上链的时候,Token就是代币,当资产上链时Token就是对资产的标记,这个时候如果再发行一个用来为这个资产定价的Token,那就是代币。

无币区块链应用在联盟链、私有链环境下,私有链肯定不需要共识,联盟链的也比较容易实现,通常是轮流记账,如果联盟太大,就需随机排队加上轮流记账,这个可以不用激励,只是解决公正公平问题。如果一定要激励,直接用收取的法币交易手续费来激励就可以。

所以在联盟链环境下一般都可以用法币做支付,不需要发行代币,但会有代表交易标的Token,方便查询和追溯。[2018/9/29]

网站后台会员列表数据页面:

https://xxxx.com/admin/userCertx...00&pageNumber=1

(通过上面的JS分析,需要携带两个参数pageSize为显示多少条信息,pageNumber显示第几页)。

这个URL地址为通过上面代码分析自己组合的地址,这里参数为什么是100还有1,后续讲。

网站后台会员状态列表(例如只查看某用户名的会员,例如只看是否通过审核的会员):

https://xxxx.com/admin/userCertx/list?username="username"&status="status

username疑为会员名称

status疑为会员状态

针对网站后台会员功能操作:

https://xxxx.com/admin/userCertx/passReject

应该向此URL提交3个参数:

userCertId:id应该是会员ID

passed:passed应该审核状态,REJECTED代表未通过。passed代表通过。

operReason:text应该是随意值,指备注。

还有几个可能无关紧要,这里就不做分析了。既然分析出来这么多URL结构及作用了。咱们就可以写JS代码,通过CSRF配合来做操作啦。

好,废话不多说,注意,这里最好修改对方中招的项目。这里有个小技巧。如图。

首先进入XSS平台,然后使用这个插件。我整理了,我现在需要探测对方后台首页的代码,这样更利于分析对方网站结构。然后还有会员列表,这样我能获得对方的数据。

那就第一个filename填入如下地址:

https://xxxx.com/admin/

那就第二个filename1填入如下地址:

https://xxxx.com/admin/userCertx/

那就第三个filename2填入如下地址(如果URL没那么多,可以为空不填写):

https://xxxx.com/admin/userCertx/list?pageSize=100&pageNumber=1

更改完之后,坐等管理员继续中招。结果没等几分钟,管理员果真又中招了。XSS平台来信息了。如图:

这里我只举例首页html源代码组合后的样式结果吧如下图(动图):

相信这么看之后,对整个网站的整体的结构已经相当之一目了然了吧。

https://xxxx.com/admin/userCertx/

https://xxxx.com/admin/userCertx/list?pageSize=100&pageNumber=1

也很有收货,上面的确实如我所想,html源码里面没什么内容,只是一个JS代码,能看到一些简单的架构。

而下面的URL地址,直接就返回100条用户的数据,JSON格式的,我们只需要格式化一下。然后分分钟到手平台用户的数据。各种高清无码身份㊣等信息。

到此网站结构已经分析的很明确了。

然后再次通过更改XSS平台的项目直接获取https://xxxx.com/admin/user/index后台管理员地址。

通过分析直接获取到了后台管理员的帐号和密码,无奈无法解开加密后的密码。

不过不要灰心,因为刚才上面获取到了https://xxxx.com/admin/user/index管理员后台的源码,所以通过源码分析出,添加后台管理员的代码。然后写一段JS脚本,如下:

最后等了半天,晚上21点管理员又登录了。结果中招确实添加了一个我指定的管理员帐号。但是我发现最终还是登录不进去。如图:

不过不用担心,因为对后台的功能基本已经了如指掌,所以我留了一个后门。没进去怎么留的后门?当然是通过CSRFXSS留的,以后只要管理员上线浏览到了后门的页面地址,那么他绝笔会中招。。。中招就可以继续玩他了。

现在,他整个网站基本可以掌控。只不过没办法进后台,所以还需要管理员浏览中招的页面才可以。

没过多久可能因为我分析对方网站代码分析某个地方失误,导致对方运营人员进不去后台了,然后技术通过数据库查看代码看到了我留的后门。如图,里面有我创建的管理员帐号:admis还有我更改的其他管理员的信息留的后门。

其实到这里就结束了,整个网站后台的功能全部都分析的明明白白了。不过这里我想说的是,我是好人,所以我并没有动人家的数据,而且也没有做恶意破坏,做人还是有点原则的好(你信么?)。好了,到这里暂时结束了,不说了,警察叔叔来找我说请我吃饭了。

标签:XXXHTTCOMTPSXXX价格htt币价格combo币发行总量tps币行情

币安下载热门资讯
TUA:SBI 加密资产交易所首年实现盈利 考虑推出证券化通证

据外媒4月26日报道,日本新推出的加密资产交易所SBIVirtualCurrencies在推出第一年就实现了盈利.

1900/1/1 0:00:00
FINE:“历史从来不是简单的重复”:Mt.Gox案对Bitfinex和Tether的启示

上周,Bitfinex交易所和稳定币USTD发行者Tether收到纽约州总检察长的调查。加密货币投资公司PactumCapital的CEODanielCawrey和摩根斯坦利的基金经理SinaN.

1900/1/1 0:00:00
加密货币:ONC CEO Alexandre:温钱包是加密货币托管服务趋势

因加密货币自带的私钥特性,自从加密货币诞生之日,因网络安全漏洞造成加密货币丢失的例子比比皆是。Mt.Gox、Bitfinex、Bithumb….这一名单可以很长很长.

1900/1/1 0:00:00
比特币:BCH将于本月实施Schnorr签名 V神:非常不错

据ambcrypto5月5日报道,全球第二大加密货币以太坊的创始人VitalikButerin于2019年4月在ETHCapeTown会议上发表了演讲.

1900/1/1 0:00:00
IMI:香港金管局公布首批虚拟银行牌照名单 渣打银行等三家机构获发牌

香港金融管理局今日宣布,金融管理专员已根据《银行业条例》向LiviVBLimited、SCDigitalSolutionsLimited及众安虚拟金融有限公司授予银行牌照以经营虚拟银行.

1900/1/1 0:00:00
FIN:金色早报 | Bitfinex官方“白皮书”:LEO回购是暂时 预期回报或将大幅降低

V神:BitcoinSV被高估BCH被低估◇金色盘面据huobiglobal数据显示,BTC最近成交价39234.63元,24小时变化0.23%;ETH最近成交价1107.03元.

1900/1/1 0:00:00