记一次某洗钱资金盘后台爆破记录

猫携

起因是我姐给我说最近有个网站可以薅羊毛，她和她同事都参与进去了，但是现在银行卡涉嫌诈骗被冻结，叫我过去看看。

网站现在打不开，总是就是低价买平台的东西，然后再在平台卖出去，赚取中间的佣金。

这不妥妥的洗钱吗？    话不多说，小赞一点。


Ps：图片有点多，有点啰嗦
工具：Burp Suite

1. 首先Burp Suite的界面设置代{过}{滤}理

2.给浏览器设置代{过}{滤}理，让Burp可以抓包（这边使用的是Firefox）
如果需要证书，自己百度配置一下

3.开启抓后台登陆数据。
我提前用御剑扫了后台登陆网页，所以扫描后台这步省略

后台登陆

4.把抓到的数据发送到爆破参数界面

5.抓到的数据清除一下参数

6.设置一下主要爆破参数
这里有点运气成分，我猜疑的admin是账户，所以只爆破了密码

7.去payloads加载一下字典，主要用来猜测密码，具体字典可以去Github找

密码加载

加载字典

8.开始爆破

9.查看爆破数据，
Length的长度判断，


至此，可以说运气还不错，爆破出来了密码，
从参数看出，账户为admin，密码为123456a
Ps：大家不要设置弱口令密码


10.登陆后台，查找有用信息

后台界面

11.部分数据查看
记录了对方的阿里云oss

阿里云oss

12.交易记录
大约2554*20=51080条记录，洗的钱应该不少，可望不可及

交易记录

13.开启后台登陆日志，查看后台访问IP

开启日志

14.后台日志记录
这一步我就不传图片了，大致国内 IP都在河北 附近。  



15.至此，结束，只能说本次爆破运气成分占据99%，因为弱口令密码很简单就才出来。

avers

这个码打的真有水平

H什么的最喜欢了

猫携 发表于 2023-5-31 22:30
所有记录都截图保存了，当时就打了本地110和后台ip地址所在110，只不过你懂的

这个要打96110，或者当地镇区反诈固话，如果管事的作为，肯定会查。110报这个不一定不会转达消息过去。不够现在网站好像已经关了，也晚了，截图没用，要他们自己采集的才算。

supernox

牛逼~~~   感谢大佬讲解~~~

未来之城

厉害，望尘莫及啊

cyhcuichao

挺好的 讲的很详细

cyhcuichao

应该继续深挖看看有没有上传之类的

czyr

这种是网站设计的问题，如果配上人机验证和失败次数锁定那你这套教程就是摆设

mis2015

你这码还不如不打

Dlan

不错，不够还不够深入。只拿到了网站的后台。

大白baymax

上传一句话，然后菜刀连接呀。