渗透测试-若依框架的杀猪交易所系统管理后台

2024-06-23 00:36

本文主要是介绍渗透测试-若依框架的杀猪交易所系统管理后台,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言

这次是带着摸鱼的情况下简单的写一篇文章,由于我喜欢探究黑灰产业,所以偶尔机遇下找到了一个加密H币的交易所S猪盘,我记得印象是上年的时候就打过这一个同样的站,然后我是通过指纹查找其它的一些站,那个站已经关了,而且还在当前IP主机上部署了Viper,厚礼谢,这是演什么剧本。

img

通过指纹搜索到了相关系统,这种交易所通常只做不干净的事情,而且源码购买成本还很低还有一种就是租的盘。

img

访问后台,啊!!!该死的熟悉感,熟悉的背景,熟悉的框架

img

经常日站的朋友们都知道,像这种盘经常日的一眼看去不是若依框架就是其他框架,不是男的开发就是女的开发的,如果你不会判断那么你只需要按F12打开调试器看见ruoyi就说明了,恭喜你,你猜对了,就是若依框架!而且这种貌似是测试站,但是很多部署上去,在源代码中登陆表单的user和password是写死的,访问后账号密码就粘那了!

img

登陆页面中的表单段代码,admin永远是个显眼包般的存在,这下好了,直接登陆!

<input type="text"     name="username" class="form-control uname"     placeholder="用户名" value="admin"    />
<input type="password" name="password" class="form-control pword"     placeholder="密码"   value="admin123" />

img

登陆进去后这个是后台的大概的一个风格,说实话我是头二回看到此类的后台系统(因为我之前的日过所以是二回),之前我打了其它交易所的站还带K线插针功能哟,所谓一键抄家,然而系统功能都差不多,什么交易机器人、合约、等,巴菲特玩了都落泪!

imgimg

img

若依框架只要不是最新版本,都是出了名多洞框架,而且均为是已经公开POC的,当然这个是要登陆的,我们欣赏到了上面的猪盘大概样貌,我们就需要动手了哟。

一、SQL注入漏洞 ,这个地方角色管理模块上都是有点毛病的,受影响的有参数值:params[dataScope]=、ancestors= 这里简单就演示一处了

img

二、任意文件读取

img

三、直接使用综合工具完成一条龙操作

img

四、shiro是若依的其中一个组件用Cookie: rememberMe=1方式来识别是否使用了组件,在进下一步攻击和利用。

img

下面这张图是我之前测试同一站的笔记截图,都几乎是一样的。但是这次文章内容测的并没有检出组件所以用之前笔记的图代替一下。

img

总结:

之前没编写文章是总感觉这些交易所像是烂尾的源码,用的人也不多,加上又碰巧用的是若依框架,所以渗透从头到尾几乎没有什么技术含量,总体下来是比较顺畅。那么就先到这里,我看看能不能找到上年另外一个S猪盘的盘子,找到在写写,那个就是不是若依的,所以也比较有挑战性。

这篇关于渗透测试-若依框架的杀猪交易所系统管理后台的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1085843

相关文章

性能测试介绍

性能测试是一种测试方法,旨在评估系统、应用程序或组件在现实场景中的性能表现和可靠性。它通常用于衡量系统在不同负载条件下的响应时间、吞吐量、资源利用率、稳定性和可扩展性等关键指标。 为什么要进行性能测试 通过性能测试,可以确定系统是否能够满足预期的性能要求,找出性能瓶颈和潜在的问题,并进行优化和调整。 发现性能瓶颈:性能测试可以帮助发现系统的性能瓶颈,即系统在高负载或高并发情况下可能出现的问题

字节面试 | 如何测试RocketMQ、RocketMQ?

字节面试:RocketMQ是怎么测试的呢? 答: 首先保证消息的消费正确、设计逆向用例,在验证消息内容为空等情况时的消费正确性; 推送大批量MQ,通过Admin控制台查看MQ消费的情况,是否出现消费假死、TPS是否正常等等问题。(上述都是临场发挥,但是RocketMQ真正的测试点,还真的需要探讨) 01 先了解RocketMQ 作为测试也是要简单了解RocketMQ。简单来说,就是一个分

【测试】输入正确用户名和密码,点击登录没有响应的可能性原因

目录 一、前端问题 1. 界面交互问题 2. 输入数据校验问题 二、网络问题 1. 网络连接中断 2. 代理设置问题 三、后端问题 1. 服务器故障 2. 数据库问题 3. 权限问题: 四、其他问题 1. 缓存问题 2. 第三方服务问题 3. 配置问题 一、前端问题 1. 界面交互问题 登录按钮的点击事件未正确绑定,导致点击后无法触发登录操作。 页面可能存在

业务中14个需要进行A/B测试的时刻[信息图]

在本指南中,我们将全面了解有关 A/B测试 的所有内容。 我们将介绍不同类型的A/B测试,如何有效地规划和启动测试,如何评估测试是否成功,您应该关注哪些指标,多年来我们发现的常见错误等等。 什么是A/B测试? A/B测试(有时称为“分割测试”)是一种实验类型,其中您创建两种或多种内容变体——如登录页面、电子邮件或广告——并将它们显示给不同的受众群体,以查看哪一种效果最好。 本质上,A/B测

cross-plateform 跨平台应用程序-03-如果只选择一个框架,应该选择哪一个?

跨平台系列 cross-plateform 跨平台应用程序-01-概览 cross-plateform 跨平台应用程序-02-有哪些主流技术栈? cross-plateform 跨平台应用程序-03-如果只选择一个框架,应该选择哪一个? cross-plateform 跨平台应用程序-04-React Native 介绍 cross-plateform 跨平台应用程序-05-Flutte

Spring框架5 - 容器的扩展功能 (ApplicationContext)

private static ApplicationContext applicationContext;static {applicationContext = new ClassPathXmlApplicationContext("bean.xml");} BeanFactory的功能扩展类ApplicationContext进行深度的分析。ApplicationConext与 BeanF

数据治理框架-ISO数据治理标准

引言 "数据治理"并不是一个新的概念,国内外有很多组织专注于数据治理理论和实践的研究。目前国际上,主要的数据治理框架有ISO数据治理标准、GDI数据治理框架、DAMA数据治理管理框架等。 ISO数据治理标准 改标准阐述了数据治理的标准、基本原则和数据治理模型,是一套完整的数据治理方法论。 ISO/IEC 38505标准的数据治理方法论的核心内容如下: 数据治理的目标:促进组织高效、合理地

ZooKeeper 中的 Curator 框架解析

Apache ZooKeeper 是一个为分布式应用提供一致性服务的软件。它提供了诸如配置管理、分布式同步、组服务等功能。在使用 ZooKeeper 时,Curator 是一个非常流行的客户端库,它简化了 ZooKeeper 的使用,提供了高级的抽象和丰富的工具。本文将详细介绍 Curator 框架,包括它的设计哲学、核心组件以及如何使用 Curator 来简化 ZooKeeper 的操作。 1

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟

Spring Framework系统框架

序号表示的是学习顺序 IoC(控制反转)/DI(依赖注入): ioc:思想上是控制反转,spring提供了一个容器,称为IOC容器,用它来充当IOC思想中的外部。 我的理解就是spring把这些对象集中管理,放在容器中,这个容器就叫Ioc这些对象统称为Bean 用对象的时候不用new,直接外部提供(bean) 当外部的对象有关系的时候,IOC给它俩绑好(DI) DI和IO