前言
這幾天在A市和B市奔波着,眼瞅着自己就要畢業了,必須得出來找份工作了。
和小伙伴在A市兜兜轉轉了幾天,要不就是不合適沒下文,要不就是給了offer,工資是在太低。心很累,然后就下B市了,看看B市還有沒有一線生機。
(這篇文章是本人在面試的前一天,在B市某個咖啡館寫的,當時沒有面試,在B市晃盪了一天,到最后只能在咖啡館寫文章了。直至今天重新寫這篇文章時,網站已經不能訪問了。)
網上沖浪?
和小伙伴合開了個房,晚上閑來無事,突發奇想就想着搜搜H的直播看看?(現在直播行業那么火,我們來看看小姐姐)
卻誤入了個蘿莉吧?(首頁圖片很H這里就不放了)
想了想,首頁這么暴露,必有詐。這種網站慣用套路就是注冊需要轉發鏈接,騙流量。還有就是騙錢,看個視頻充個Vip之類的。
信息收集
本着為民除害(搞事情)的心態,我開始了拿站之旅。其實剛開始都沒有收集什么信息,憑直覺我就隨手測試了一下解析漏洞。(這里又有一個坑,因為之前認真復習了解析漏洞,從漏洞原理認真理解了一遍,也發現了一些東西。想寫篇文章一直沒寫。先占個坑~)
論壇的一些信息:dicuz論壇,nginx解析。
測試robots.txt正常,測試robots.txt/1.php返回不正常。對比之處在於robots.txt返回的content-type:text/plain,而robots.txt/1.php的content-type:text/html。(過去了好久了,現在這個網站已經不能訪問了。)
接下來就是找到一個上傳點就好了。
先注冊個賬號,上傳圖像試試,發現圖像是放在阿里的圖床的,不放在服務器上面。
后來在測試發帖的時候成功上傳圖片馬。拿到shell。
之后就是各種瀏覽了。
然后我發現進去之后瀏覽帖子,還要充錢?vip 99,超級vip,199?
找了個超級vip的賬號。
然后我就笑了。
為什么會這樣呢?然后我看了一下所謂的H視頻
就tm標題出骨一點,其實就是街頭的一些跟拍而已。
然后我又看一下vip,和超級vip的人數:
也是有一百多號的水魚啊!!
笑死~
網上那么多免費資源你不看,偏要給錢人家??想不懂!!
還有這個網站的管理員發表的所謂聲明。。。
哎呀,厲害了。
網站上不去,估計是被人舉報,網警叔叔干事了。
看看域名信息(不打碼)
反查看看,389條記錄,這么多垃圾域名。細極思恐~~
最后
還請網警叔叔加大力度,打擊這些虛晃的黃網,拯救我國廣大的花季少年啊!!
本篇文章沒有什么技術含量,僅作為記錄。(對了,網警叔叔這個就不要查水表了。)