皮皮按键精灵 发送qq消息的消息是谁发的

记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华
皮皮精灵!我们又见面了~看了你们的漏洞修复的完全无缝,感觉你们很注重安全,这是一个非常好的现象,但不知不觉我又进入了你们的两个后台,一个是皮皮精灵管理中心,一个就是Discuz!,这次就不是什么注入漏洞了,而是你们员工的密码问题了!--------------------------------------------------------------------------------------------------------------------------#1.由于当今的网络安全尚不成熟,某些网站管理员对网站安全不够注重,导致大量网站的数据库被黑客拖走,比如:CSDN、人人网、天涯社区、51CTO的裤子等等,这些数据库从而在网上流传起来,某些黑客则把这些数据库集中起来,然后通过Web形式的查询系统可以从这些数据库中查询任意内容,这样就形成了社工库。而正因为某些人为了方便记忆,或者习惯在多个网站中使用同一个密码,这样就导致了某些人的密码遭受泄漏。看完皮皮精灵的漏洞史,我不由的叹道,某几位管理员的密码不够成熟啊!下面我们来看看第一个后台:http://www.pp.cc/manage/home通过上次我对你们提交的那个忽略的漏洞,我们整理出了这么几个账号:king-tcaoclajiongxman1985xka2013Nightyangxyzhou520spring0220westwest2015leitcarter0314A.密码泄漏问题:只是很可惜,绝大多帐号比较普遍,社工起来比较难,然后一个一个通过社工库查询了一下,社工库网址[PS:这可不是我搭建的,网络上开放的]:/s/http://shegongku.org/passwd/http://www.sojb.pw/我们看看“carter0314”这个帐号,通过社工库的查询如下:看来这位朋友在天涯也注册过号,在7k7k也玩过小游戏。然后我通过社工库查询到的密码登录皮皮精灵的后台,然后就悲剧了!B.帐号弱口令行为通过对上面多个帐号进行社工,由于某些帐号的样子太普遍难以查到,最后干脆试试弱口令或者帐号密码一样的朋友,最后“xka2013”同志中招了,没想到这位同志的帐号密码居然一样啊,又成功地登录了一个管理员的帐号。如下图:从上面总结出:一种是管理员习惯使用相同的帐号和密码,并且在别的已经泄漏数据库的网站注册过,从而进入了后台,另一种则是弱口令的行为,例如:帐号密码一样、123456、单纯的出生年月日、域名+出生年、域名+当前年份等。 漏洞证明:#2.我们再来看看另一个后台是怎么社工进去的!第二个后台(可能有危机):/bbs/forum.php厂商看起来可能觉得这是刚刚讨论建设的论坛,但是往往小的疏忽可能会带来大的危害,从发的帖子来卡管理员的帐号有哪些:kingsjjfeisg然后试着登录,结果发现“kingsjj”的密码是“123456”。PS:由于太弱改成了&server&但是这个帐号无法进入后台,后来就想肯定不是创始人的,而是被赋予的管理员,然后通过遍历id为1的帐号,发现创始人是&pader&,因为当前也是管理员,所以可以看到创始人的邮箱,而非该权限则看不到创始人的邮箱。其实在前面提交那个皮皮精灵sql注入的时候,我先是从这个论坛开始找思路的,本来这个漏洞应该先发的。但是后来还是迅速提交了那个高危害的漏洞,其实我们社工一下这个管理员:看的出,这个管理员习惯使用“pader_net”、“pader2009”、“eyangpei”来作密码,于是尝试通过去登录Discuz!可是无法登录,怎么办?其实说到这特别巧,那天正好找到皮皮精灵注入漏洞的时候注入出pader的帐号,然后就尝试可不可能是那个密码呢?最后居然成功的登录了:这个创始人还可以进入后台呢~也可以进入其它的,例如皮皮商城,并且皮皮商城还是个特殊帐号:可能你会问,不就进入一个没什么用的后台吗?但是这里却泄漏了你网站的UC_Key~有UC_Key能干嘛?请厂商看看这个:
但是由于本人太菜了,尝试使用UC_key得到webshell始终没有成功,也试过%00截断等等,并通过Discuz!的文件校验工具发现目录是完全可写的,我相信如果遇到@猪猪侠 这样的大牛,绝对是可以通过这个uc_key拿下Webshell的,这样的话“”这个网站就遭殃了~其实还有一种拿webshell的方法,但是怕影响到网站什么的,就没有试了,如下先将论坛自动升级到X3.1。然后通过这个:
去拿webshell也是可行的~但是我还是放弃了这样的做法。最后总结一下,假如是骇客入侵,特别是第二个Discuz!的后台,他得到了UC_key,即使在后期论坛管理员密码改了,只要他有uc_key便可以getshell,应该也是行的通的。所以说如果你不想再去建设该论坛,可以直接下线该论坛。 修复方案:1.最好是告诉所有员工,千万不要使用弱口令(如:654321)、单纯出生年月日(如:)、域名+年份(如“ppcc2011)、帐号密码一样的等等,增强这些管理员的安全意识,再告诉他们曾经在天涯、人人网、CSDN等网站被泄漏的密码一定不要再使用了,社工是很可怕的!2.其次是后台应该多隐蔽一些,包括一些不需要的东西完全可以删除,因为小危害会引来大灾难的,注重安全问题,这对你们是有好处的!3.对于你们多个后台没有验证码或者错误次数限制来说,这是很容易爆破的!比如皮皮精灵的后台,没有验证码和错误次数,可以通过burpsuite等软件来载入常用密码字典进行爆破的,所以说,你们那些后台请做一些错误次数的限制等等!
阅读:56703 | 评论:0 | 标签:无
想收藏或者和大家分享这篇好文章→
? 关注Hackdig微博,点击下方按钮?
? 关注Hackdig微信,学习技术更方便皮皮精灵是什么?怎么用?
皮皮精灵是什么?皮皮精灵是基于腾讯微博和新浪微博的第三方应用,可以增强和扩展现有微博的一些功能,比如定时发送微博、定时转发微博、批量发布微博、微博分析、互听查询、微博内容库、微博图库、转播统计、图片分享、微博比赛等等。软件可以关联新浪,腾讯微博。皮皮精灵怎么用?1、先在本站下载最新官方版本:软件名称:皮皮精灵v2.70.13.35
软件大小:
2.0M 下载地址: 2、登录以前使用过皮皮时光机或皮皮定时器的用户,可直接使用“皮皮精灵帐号”登录,无需再次注册。暂不支持直接用微博帐号登录。新用户可点击此处注册3、主界面3.1 帐号信息1、每组关联帐号的首个帐号为主帐号,主帐号只能是新浪/腾讯微博2、点击主帐号头像可进入当前微博页面3、同步关联的帐号头像亮时,同步发布,头像灰时,不同步发布3.2 菜单栏1、自动启动:随电脑开机而自动启动2、删除信息:显示自动删除详细列表3、帮助中心:进入帮助页面4、反馈建议:点击直接与***通话反馈问题5、检查更新:更新到最新版本6、关于我们:查看版本信息7、更多设置:进入设置页面8、切换账户:注销当前帐号返回登录界面9、退出软件:关闭软件3.3 账户选择点击"账户切换"按钮,打开账户选择窗口添加腾讯帐号,点击授权-腾讯添加新浪帐号,点击授权-新浪关联多微博平台(新浪、腾讯、搜狐、网易)进入定时器页面,点击设置-多微博平台3.4 微博编辑1、可手动编辑内容:暂支持“插入新话题”“清空”“图片”“视频”“音乐”“短网址”“微博克隆”。2、在网页内用鼠标选取想要发布的内容及图片,按F4快捷键后,选取的内容和图片将自动复制粘贴在微博编辑区。或将软件置顶,鼠标拖动内容到微博编辑区。3.5 微博来源桌面版现支持默认来源和官方来源两种1、默认来源:微博保存在服务器上,无需挂机,定时完后可关闭,显示来自皮皮精灵(皮皮时光机或网页版上自定义的来源)2、官方来源:微博保存在本地电脑,需挂机,到了定时时间由软件在后台发送,显示来自新浪/腾讯微博。4 记录列表点击“记录”,打开查看记录窗口记录分“发送记录”“转发记录”5 内容库点击“内容库”打开内容库窗口内容库左上角显示“当前帐号”“同步信息”“来源”“当前签名”选择新浪/腾讯来源时,可批量发送在内容库页面发送的微博不会再显示到当前微博帐号6 设置窗口点击右上角“设置”小按钮,或者打开“菜单”-“更多设置”,进入设置窗口6.1 水印设置水印设置仅针对新浪/腾讯来源,默认来源的水印设置与网页版同步,无需再次设置6.2 签名设置针对各个微博分别签名,自动添加在该微博下定时的每条微博后面。默认来源时,主帐号与关联帐号需设置一样的签名,否则默认不添加新浪、腾讯来源时,主帐号与关联帐号可随意设置不同的签名,分别添加6.3 删除设置针对各个微博分别删除,开启后,根据时间、分类、转发条数限制选择性的删除,也可添加不想删掉的微博链接设置完成后,可点击主界面右侧的“自动删除”小按钮查看删除详情
阅读本文后您有什么感想? 已有
人给出评价!
04-10-0804-10-0704-10-0704-10-0704-10-0704-10-0704-10-0704-10-07
注:您的评论需要经过审核才会显示出来
Copyright &
PC6下载().All Rights Reserved
备案编号:湘ICP备号评论: 皮皮精灵,皮皮微信的总部~~
文章主题: []
11:22 | 分数 1114网址导航皮皮精灵的消息是谁发的_百度知道

参考资料

 

随机推荐