揭露网络赌博骗局，看我如何打击这种骗局

今天，领导给了个任务，就是让我打击这种违法犯罪的网站，现在网上很多新闻都是被这种东西整的家破人亡

渗透惯用套路：

先信息收集、漏洞检测和利用，提权加权限维持，最后收集证据提交

这里我们看见对方的一个网站架构是这样的

系统：Windows server中间件 IIS7.5语言：ASPX，比较常见的架构组合

端口扫描

nmap -sV -T4 -p- 11x.xx.xxx.xx

发现了一些常见的端口信息，先保存下来，后面会用到

敏感目录扫描

先用 Dirsearch 过一遍，前面搜集到网站语言是 aspx，加上 -e 指定语言

python dirsearch.py -u http://11x.xx.xxx.xx -e aspx

再用扫描器过一遍，毕竟这里面收集的都是国人常用的字典

漏洞探测

重点先放在前面找到的 81 端口，也就是网站的后台管理页面

没有验证码，用户名 / 密码随便写个 admin / admin，抓包

用户名加了个引号发送请求直接返回报错了，不出意外应该会有报错注入或者盲注啥的

把数据包发送到 intruder 模块去爆破密码，尝试了在浏览器随便输入用户名，提示 "用户名不存在"，输入 admin 的时候提示 "用户名或密码错误"，说明 admin 账户是存在的，只爆破密码就行，这里，我们成功的爆破出了后台密码

成功登录后台

在后台才发现一个受害人一天被割了很多钱

我将这些收集好的数据全部整理好上交给了领导，任务就此完成

最后告诫大家，这种网站都是有害无利的，不要为了一时的暴利而迷失了自己，危害自己也害了家人

博彩公司  

举报