1518天 剑客

重要的人越来越少,剩下的人也越来越重要 ​​

一次费劲心力X客服小姐姐的经历

发布于 15天前 / 58 次围观 / 0 条评论 / 技术实战 / 剑客

又是一个美好的下午(闲的发慌),一切的开始,要从一个好友请求开始。
file

难道是我正在努力学习黑阔知识的事情暴露了?
引来美女疯狂仰慕试图加联系方式靠近我影响我学习?
file

Emmm,当然,不存在的。

本着一腔热血,为民除害,打击黄赌毒(无聊就要瞎J8日)的精神,这种机会当然不放过,要来网址测试测试咯。

得到网址,bctest.com.
开干!

进去自然是正常的BC页面。
file

先浏览了一下大概的页面功能。
游戏区:体育类,真人类,电子类,彩票类,棋牌类。都是调用的接口。
EMMMM,这些在我看来都不重要,这种接口一般的BC类站点都接入了,以前研究过,反正难搞。
然后就是优惠活动,充值类。优惠活动没啥用,充值待会再看。
暂时来看,重点关注代理加盟。

不管三七二十一,先开户看看其他功能。
开户成功之后,
主要五大块功能:

file

资料编辑(银行卡绑定,昵称修改之类)
充值出款
现金流水
推广
消息公告。

浏览过后自然就是结合自己的学习经验认真测试啦!(瞎G2测试一波再说。)

主要是资料编辑出的测试咯。
然后就是资金类出入款信息就加 ’’ 警告咯。
果然,一切都跟我预测的一样,毫无反应!!!

EMMMM,但是我会轻易放弃吗? 不存在的,本着中国好市民的精神(是真的没事干闲的无聊啊喂!!!),再跟美女客服小姐姐聊聊天咯。
得到如下代理账号信息。以及代理后台:
Test1.bctest.com
file

登录之,继续探索。

结果倒是出乎我的意料!!!
代理后台就两个功能
file

???
那怎么玩咯????

当然是看看着两个功能先咯。
操作日志,简单讲就是可以查看自己和下线会员的登录,充值出款之类等等的信息。
修改密码当然就是修改密码咯!

不管四七三十八,看看这些功能先。
随手先查查自己。
file

Bingo
记录登录IP。
那就看看是不是更改X-ForwarD-for,有用没咯。
file

嗯哼,因确斯挺。
那不如?警告一波。
哟西,没过滤!!自然是嘻嘻嘻!
file

客服小姐姐终于要被我插了!!

然后当然是静静的等待咯。
EMMM。继续跟小姐姐聊天,吸引她看我的个人信息。
BINGO。
file

得到cookie和后台管理地址,开干!

访问
Test2.testBC.com
cookie修改,回车!
????
居然没有我想要的那种画面!!!!
说好的管理后台呢!!!!

因缺斯挺,难道这么快cookie就过期了?
不应该呀,我闲的时刻守候着呀。
因为代理后台登录界面和管理后台登录界面完全一致。只是权限不同,分析JS发现也只是权限不同,其他功能的JS代码还是有的,用自己申请的代理后台cookie用另外一个浏览器测试了一波,发现,果然有猫腻!

单纯用cookie是无法登录后台的。
抓包分析。

发现进入代理后台,访问任何功能都会post一个token参数。
有点意思。那么,这个token参数是什么鬼呢。他从哪里来的!!!!
开始猜想是登录的时候根据某种规则生成token,抓登录包看发现并没有!!!
这种时候当然是F12研究研究咯。
根据经验ctrl+F 输入token,bingo!!!
代理后台登录过后HTML的一个JS里是存储着这个token的。
file
在源代码里,那不就继续插小姐姐就完事了!我真是个天才!!!
构造XSS代码。
var token = html.match(/token = \'(\S*)\';/g);
继续边和客服小姐姐聊天边插。

Bingo!
收到token如下xxxx-xxxxx-xxxx-xxx-xx-xxx-xxx
不过这时候才发现一个问题。现在用cookie和token 利用burp倒是可以发包成功了。
但是!
还是没办法直观的进入后台管理啊,如果要直接进去估摸还要分析写个本地中转页面去搞,
分析了一会JS和各功能,看得头皮发麻。妈哟。!!!

麻烦的要死,反正因为代理后台登录界面和管理后台登录界面完全一致。只是权限不同。
还是启动 plan B咯。直接获取浏览器保存的明文密码!!不好吗!!
奈斯!
一段花里胡哨(其实只是利用XSS模块构造表单),继续边插边和客服小姐姐聊天。
EMMMMM。妈哟。插是插到了。但是返回的username password是undefined!!!
什么鬼!!!!

分析一波,JS代码没问题,找原因咯。
经过一波仔细观察,妈耶,我的代理后台和代理管理界面!!!居然域名不同!!!
代理登录域名:testa.testbc.com
代理管理域名:testb.testbc.com
这个是什么骚操作!!这么看管理后台也是不一致咯。

不过没关系!!!
我还有终极无敌插死死计划。
其实就是钓鱼了。

原理就是构造一段xSS显示登录超时,生成登录界面的iframe.覆盖原管理界面,Onclick之后跳回原界面,钓鱼钓的毫无声响,但是可能存在的原因就是他们登录界面原本就跟管理界面域名不同,可能管理员不会上当。不过没事,我们并没有Plan D.所以,干就完事了 !!!

还是老规矩,边插边跟客服小姐姐聊天。

嗯哼???
BINGO
file

账号密码到手。
后台到手,晚上再看吧。我可不想把管理员挤下去。

晚上一看,睡不着了。哇!!!BC可真赚钱啊!!!!!!!
附图自己感受。
file

一个月出款就一个亿而已咯!

好了!观摩完毕。我躺到床上哭去了!!!
我一辈子想都不敢想这么多钱!!!!

未显示?请点击刷新