黑客教你查询某人位置(24小时接单的黑客)
在qq上收到任何链接都有可能是钓鱼网站,比如我们收到了一个链接打开后就直接要登录qq空间,小白可能直接就输入账号密码了。但是看了一下域名不对啊,不是某讯相关的域名,显然是一个钓鱼网站。
看到危害这么大的行为,心中的正义感油然而生,怎么可以放任别人上当呢?
发给小白就算了,让我们遇到,今天算你倒霉,于是开始了正义的渗透。
第1步,扫描网站
先用工具扫描一下网站
扫描结果如上图,可以看到一个我们比较感兴趣的信息,login.php页面的返回码是200,说明该页面存在,这是一个网站管理员的后台登入页面,先打开看看再说
第2步,尝试弱口令
打开管理员后台登入页面,先尝试一下弱密码,比如admin/admin888,admin/password
很遗憾,不是弱密码,再换一种思路
第3步,尝试万能密码登入
很遗憾,还是不能登录,再换一种思路
第4步,换思路
这个时候想起,这种登录框会不会存在SQL注入漏洞呢?要不试试看
这个时候我们发现找到了突破口,报错了,而且还爆出了路径
这个时候就有点兴奋了,这个时候sqlmap就派上大用场了,我们可以使用sqlmap跑包,或者通过sqlmap跑登录框,如果是跑包的话,可以使用sqlmap -r
使用sqlmap跑登陆框的话可以使用sqlmap -u "url" --form
python sqlmap.py -u "http://www.xxx.com/admin/login.php" –form
开始我们的sqlmap之旅
(责任编辑:网络)