记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华
皮皮精灵！我们又见面了~看了你们的漏洞修复的完全无缝，感觉你们很注重安全，这是一个非常好的现象，但不知不觉我又进入了你们的两个后台，一个是皮皮精灵管理中心，一个就是Discuz!，这次就不是什么注入漏洞了，而是你们员工的密码问题了！--------------------------------------------------------------------------------------------------------------------------#1.由于当今的网络安全尚不成熟，某些网站管理员对网站安全不够注重，导致大量网站的数据库被黑客拖走，比如：CSDN、人人网、天涯社区、51CTO的裤子等等，这些数据库从而在网上流传起来，某些黑客则把这些数据库集中起来，然后通过Web形式的查询系统可以从这些数据库中查询任意内容，这样就形成了社工库。而正因为某些人为了方便记忆，或者习惯在多个网站中使用同一个密码，这样就导致了某些人的密码遭受泄漏。看完皮皮精灵的漏洞史，我不由的叹道，某几位管理员的密码不够成熟啊！下面我们来看看第一个后台：http://www.pp.cc/manage/home通过上次我对你们提交的那个忽略的漏洞，我们整理出了这么几个账号：king-tcaoclajiongxman1985xka2013Nightyangxyzhou520spring0220westwest2015leitcarter0314A.密码泄漏问题：只是很可惜，绝大多帐号比较普遍，社工起来比较难，然后一个一个通过社工库查询了一下，社工库网址[PS：这可不是我搭建的，网络上开放的]：/s/http://shegongku.org/passwd/http://www.sojb.pw/我们看看“carter0314”这个帐号,通过社工库的查询如下：看来这位朋友在天涯也注册过号，在7k7k也玩过小游戏。然后我通过社工库查询到的密码登录皮皮精灵的后台，然后就悲剧了！B.帐号弱口令行为通过对上面多个帐号进行社工，由于某些帐号的样子太普遍难以查到，最后干脆试试弱口令或者帐号密码一样的朋友，最后“xka2013”同志中招了，没想到这位同志的帐号密码居然一样啊，又成功地登录了一个管理员的帐号。如下图：从上面总结出：一种是管理员习惯使用相同的帐号和密码，并且在别的已经泄漏数据库的网站注册过，从而进入了后台，另一种则是弱口令的行为，例如：帐号密码一样、123456、单纯的出生年月日、域名+出生年、域名+当前年份等。 漏洞证明：#2.我们再来看看另一个后台是怎么社工进去的！第二个后台（可能有危机）：/bbs/forum.php厂商看起来可能觉得这是刚刚讨论建设的论坛，但是往往小的疏忽可能会带来大的危害，从发的帖子来卡管理员的帐号有哪些：kingsjjfeisg然后试着登录，结果发现“kingsjj”的密码是“123456”。PS:由于太弱改成了&server&但是这个帐号无法进入后台，后来就想肯定不是创始人的，而是被赋予的管理员，然后通过遍历id为1的帐号，发现创始人是&pader&，因为当前也是管理员，所以可以看到创始人的邮箱，而非该权限则看不到创始人的邮箱。其实在前面提交那个皮皮精灵sql注入的时候，我先是从这个论坛开始找思路的，本来这个漏洞应该先发的。但是后来还是迅速提交了那个高危害的漏洞，其实我们社工一下这个管理员：看的出，这个管理员习惯使用“pader_net”、“pader2009”、“eyangpei”来作密码，于是尝试通过去登录Discuz！可是无法登录，怎么办？其实说到这特别巧，那天正好找到皮皮精灵注入漏洞的时候注入出pader的帐号，然后就尝试可不可能是那个密码呢？最后居然成功的登录了：这个创始人还可以进入后台呢~也可以进入其它的，例如皮皮商城，并且皮皮商城还是个特殊帐号：可能你会问，不就进入一个没什么用的后台吗？但是这里却泄漏了你网站的UC_Key~有UC_Key能干嘛？请厂商看看这个：
但是由于本人太菜了，尝试使用UC_key得到webshell始终没有成功，也试过%00截断等等，并通过Discuz!的文件校验工具发现目录是完全可写的，我相信如果遇到@猪猪侠 这样的大牛，绝对是可以通过这个uc_key拿下Webshell的，这样的话“”这个网站就遭殃了~其实还有一种拿webshell的方法，但是怕影响到网站什么的，就没有试了，如下先将论坛自动升级到X3.1。然后通过这个：
去拿webshell也是可行的~但是我还是放弃了这样的做法。最后总结一下，假如是骇客入侵，特别是第二个Discuz!的后台，他得到了UC_key，即使在后期论坛管理员密码改了，只要他有uc_key便可以getshell，应该也是行的通的。所以说如果你不想再去建设该论坛，可以直接下线该论坛。 修复方案：1.最好是告诉所有员工，千万不要使用弱口令（如：654321）、单纯出生年月日（如：）、域名+年份（如“ppcc2011）、帐号密码一样的等等，增强这些管理员的安全意识，再告诉他们曾经在天涯、人人网、CSDN等网站被泄漏的密码一定不要再使用了，社工是很可怕的！2.其次是后台应该多隐蔽一些，包括一些不需要的东西完全可以删除，因为小危害会引来大灾难的，注重安全问题，这对你们是有好处的！3.对于你们多个后台没有验证码或者错误次数限制来说，这是很容易爆破的！比如皮皮精灵的后台，没有验证码和错误次数，可以通过burpsuite等软件来载入常用密码字典进行爆破的，所以说，你们那些后台请做一些错误次数的限制等等！
阅读:56703 | 评论:0 | 标签:无
想收藏或者和大家分享这篇好文章→
? 关注Hackdig微博，点击下方按钮?
? 关注Hackdig微信，学习技术更方便皮皮精灵是什么?怎么用?
皮皮精灵是什么？皮皮精灵是基于腾讯微博和新浪微博的第三方应用，可以增强和扩展现有微博的一些功能，比如定时发送微博、定时转发微博、批量发布微博、微博分析、互听查询、微博内容库、微博图库、转播统计、图片分享、微博比赛等等。软件可以关联新浪，腾讯微博。皮皮精灵怎么用？1、先在本站下载最新官方版本：软件名称：皮皮精灵v2.70.13.35
软件大小：
2.0M 下载地址： 2、登录以前使用过皮皮时光机或皮皮定时器的用户，可直接使用“皮皮精灵帐号”登录，无需再次注册。暂不支持直接用微博帐号登录。新用户可点击此处注册3、主界面3.1 帐号信息1、每组关联帐号的首个帐号为主帐号，主帐号只能是新浪/腾讯微博2、点击主帐号头像可进入当前微博页面3、同步关联的帐号头像亮时，同步发布，头像灰时，不同步发布3.2 菜单栏1、自动启动：随电脑开机而自动启动2、删除信息：显示自动删除详细列表3、帮助中心：进入帮助页面4、反馈建议：点击直接与***通话反馈问题5、检查更新：更新到最新版本6、关于我们：查看版本信息7、更多设置：进入设置页面8、切换账户：注销当前帐号返回登录界面9、退出软件：关闭软件3.3 账户选择点击"账户切换"按钮，打开账户选择窗口添加腾讯帐号，点击授权-腾讯添加新浪帐号，点击授权-新浪关联多微博平台（新浪、腾讯、搜狐、网易）进入定时器页面，点击设置-多微博平台3.4 微博编辑1、可手动编辑内容：暂支持“插入新话题”“清空”“图片”“视频”“音乐”“短网址”“微博克隆”。2、在网页内用鼠标选取想要发布的内容及图片，按F4快捷键后，选取的内容和图片将自动复制粘贴在微博编辑区。或将软件置顶，鼠标拖动内容到微博编辑区。3.5 微博来源桌面版现支持默认来源和官方来源两种1、默认来源：微博保存在服务器上，无需挂机，定时完后可关闭，显示来自皮皮精灵（皮皮时光机或网页版上自定义的来源）2、官方来源：微博保存在本地电脑，需挂机，到了定时时间由软件在后台发送，显示来自新浪/腾讯微博。4 记录列表点击“记录”，打开查看记录窗口记录分“发送记录”“转发记录”5 内容库点击“内容库”打开内容库窗口内容库左上角显示“当前帐号”“同步信息”“来源”“当前签名”选择新浪/腾讯来源时，可批量发送在内容库页面发送的微博不会再显示到当前微博帐号6 设置窗口点击右上角“设置”小按钮，或者打开“菜单”-“更多设置”，进入设置窗口6.1 水印设置水印设置仅针对新浪/腾讯来源，默认来源的水印设置与网页版同步，无需再次设置6.2 签名设置针对各个微博分别签名，自动添加在该微博下定时的每条微博后面。默认来源时，主帐号与关联帐号需设置一样的签名，否则默认不添加新浪、腾讯来源时，主帐号与关联帐号可随意设置不同的签名，分别添加6.3 删除设置针对各个微博分别删除，开启后，根据时间、分类、转发条数限制选择性的删除，也可添加不想删掉的微博链接设置完成后，可点击主界面右侧的“自动删除”小按钮查看删除详情
阅读本文后您有什么感想? 已有
人给出评价!
04-10-0804-10-0704-10-0704-10-0704-10-0704-10-0704-10-0704-10-07
注：您的评论需要经过审核才会显示出来
Copyright &
PC6下载().All Rights Reserved
备案编号:湘ICP备号评论: 皮皮精灵,皮皮微信的总部~~
文章主题: []
11:22 | 分数 1114网址导航皮皮精灵的消息是谁发的_百度知道