201787h 发表于 2019-12-20 01:45:08

重磅!菠菜bc网站自己加款提现/到账 8W+

本帖最后由 201787h 于 2019-12-20 02:26 编辑

首先找到一款 菠菜bc平台

先注册


现在可以看到余额是 0
对网站进行 代码审计 发现他的表单功能存在注入漏洞
这里给大家分享一下 适用于post方式的表单中的注入
将sql语句中所有空格用(0x00-0x19)代替
即可bypass其SQL注入检测


直接 注入跑出网站 管理员后台账户密码

看下网站后台

权限很大 貌似可以加款提款

加款后我们
先转换到我们的玩家登录账户



发现已经到账
直接提现

申请金额 提交

发现有一个管理员审核
进入后台进行审核!

审核完成后我们发现我们的提现申请

由于这个站不存在人工审核机制
所以


吃排骨去了




tan0115 发表于 2019-12-20 12:50:39

有没有大佬说下怎么升级用户组

ahah2020 发表于 2020-1-18 12:44:42

怎么确定是不是人工审核

201787h 发表于 2019-12-20 08:43:43

xzy1314 发表于 2019-12-20 06:38
具体怎么弄

可以交流学习

与风相挽 发表于 2020-1-2 10:09:02

不太现实,取的时候有风控

201787h 发表于 2019-12-20 22:12:18

zjq6581353 发表于 2019-12-20 15:46
群主搞了几个?能开平台的难道没有这些防范?再说了!黑入成本应该也比较大吧?

都像你这么说,所有的台子都是完美无缺的:lol

gxlgj 发表于 2019-12-20 02:12:48

牛逼 !!!

见风还是风 发表于 2019-12-20 02:58:46

??

xzy1314 发表于 2019-12-20 06:38:44

具体怎么弄

小小鸟 发表于 2019-12-20 07:02:48

大神们,真牛逼

zjq6581353 发表于 2019-12-20 08:10:46

有没有那么容易给你黑的平台?

zjq6581353 发表于 2019-12-20 08:14:44

那个平台给你这样搞到了?可以分享一下吗?

201787h 发表于 2019-12-20 08:38:38

可以讨论一下,交流下。

201787h 发表于 2019-12-20 08:43:15

zjq6581353 发表于 2019-12-20 08:10
有没有那么容易给你黑的平台?

有没有,看你的能力。成千上百个台子总有几个让你得手的
页: [1] 2 3 4 5 6 7 8 9 10
查看完整版本: 重磅!菠菜bc网站自己加款提现/到账 8W+