请不要在我喜欢的人身上下手，我“刀”呢？

字数 1556 2025-08-15 21:32:56

网络赌博网站渗透测试实战教学文档

一、背景与目标

本案例是一个针对网络赌博（"菠菜"）网站的安全渗透测试实战，起因是测试者的一位同学被网络赌博诈骗。通过技术手段揭露赌博网站背后的运作机制和安全漏洞。

二、信息收集阶段

1. 初步分析

目标网站：通过同学提供的URL下载的赌博APP
发现URL采用MD5+Base64双层加密
解码后还原真实通讯地址

2. 技术架构分析

服务器IP位于日本
使用Nginx中间件
PHP语言开发
使用了CDN服务

3. 信息收集尝试

子域名扫描
SVN信息泄露检查
DNS历史记录查询
GitHub信息泄露检查
使用在线工具辅助
结果：未能获取真实IP

4. 目录扫描

使用工具：BurpSuite、dirsearch、御剑、dirmap
目标：寻找网站备份文件、数据库文件
结果：未发现有价值信息

三、网站功能分析

1. 关键页面

register.php - 注册页面
login2page.php - 登录页面
contactus.php - 客服页面

2. 漏洞测试

万能密码尝试
SQL注入测试
存储型XSS测试
结果：未发现明显漏洞

3. 客服页面发现

获取客服邮箱
通过Google/Github搜索邮箱无果

四、攻击尝试

1. 用户名爆破

发现密码采用SHA1加密
编写Python爆破脚本配合BurpSuite
持续半小时爆破未成功

2. 注册账户

注册账户后三天仍处于审核状态
推测管理员有严格审核机制

3. 手工测试

测试常见PHP路径：

/phpinfo.php
/robots.txt
/admin.php
/admin/login.php
/admin/index.php
/test.php
/admin_admin.php
/admin_config.php
/config.php
/install.php
/upfile.php
/upload.php
/admin_user.php
/phpMyAdmin/
/Upload/
/admin/
/DataBackup/
/User/
/WebAdmin/
/config/
/test/

结果：无重大发现

4. CMS识别

类似phpcms、dedecms、echshop等CMS
但已有漏洞无法复现，可能是二次开发版本

五、突破点发现

1. 测试信息泄露

发现漂浮的"test"地址（5月13日）
"优惠公告"中服务器时间错乱
发现测试类信息

2. 图片上传分析

发现异常图片地址：

https://www.XXXX.com/url?sa=i&url=https%3A%2F%2Fwww.XXXX.com%2Fhottopic%2F20190730000007-260809&psig=AOvVaw3SR-d4gR-kO_fTvj4BhfGe&ust=1591758565017000&source=images&cd=vfe&ved=0CAIQjRxqFwoTCJDs-ojh8-kCFQAAAAAdAAAAABAD

发现CDN图片存储：

https://cdn.XXXXX.com/site/upload/promotions/7db335cc-e657-8a1b-e6b2-d61aaee1a675.png

3. CDN信息收集

CDN IP位于台湾
扫描同级子域名发现大量赌博网站
旁站查询发现庞大赌博网站网络

六、SQL注入攻击

1. 注入点发现

功能页面数据传输为字符型
单引号测试导致数据库报错
验证：
- 'and '1'='1 返回异常
- 'and '1'='2 返回正常
确认为字符型注入

2. 使用sqlmap

成功爆出数据库
但非DBA权限

七、权限提升

1. 数据库分析

翻阅三个数据库未找到管理员账号
找到用户表

2. 客服账号发现

在用户表中发现客服账号密码
使用工具扫描找到后台地址
成功登录客服账号

3. 更高权限发现

发现"gpkcs9"用户
确认其为系统运维账号（最高权限）
发现多个管理员账号，揭示赌博网站规模

4. 后台发现

发现两个彩票后台登录入口
一个需要凭证（爆破无果）
另一个可直接访问
确认为"杀猪盘"运作模式

八、总结与防范

1. 赌博网站运作特点

多层加密和CDN隐藏真实地址
严格审核机制防止渗透
多级权限管理
大规模网络运作

2. 赌博心理分析

好奇心理：旁观导致迷恋
刺激心理：金钱增加娱乐性
贪婪心理：不劳而获难以放手
翻本心理：越输越想翻盘
侥幸心理：相信自己能赢回

3. 安全建议

十赌九输，不赌为赢
避免侥幸心理
及时止损
发现诈骗及时报警

九、技术总结

渗透测试流程

信息收集（失败）
目录扫描（失败）
功能测试（发现注入点）
SQL注入攻击（成功）
权限提升（通过数据库信息）
后台突破（发现管理功能）

关键技巧

关注测试信息泄露
图片等资源可能暴露CDN信息
字符型SQL注入的识别与利用
数据库信息分析寻找权限提升机会

十、法律声明

本案例中获取的信息已移交有关部门处理。渗透测试必须在合法授权下进行，未经授权的测试可能构成违法行为。

网络赌博网站渗透测试实战教学文档一、背景与目标本案例是一个针对网络赌博（"菠菜"）网站的安全渗透测试实战，起因是测试者的一位同学被网络赌博诈骗。通过技术手段揭露赌博网站背后的运作机制和安全漏洞。二、信息收集阶段 1. 初步分析目标网站：通过同学提供的URL下载的赌博APP 发现URL采用MD5+Base64双层加密解码后还原真实通讯地址 2. 技术架构分析服务器IP位于日本使用Nginx中间件 PHP语言开发使用了CDN服务 3. 信息收集尝试子域名扫描 SVN信息泄露检查 DNS历史记录查询 GitHub信息泄露检查使用在线工具辅助结果：未能获取真实IP 4. 目录扫描使用工具：BurpSuite、dirsearch、御剑、dirmap 目标：寻找网站备份文件、数据库文件结果：未发现有价值信息三、网站功能分析 1. 关键页面 register.php - 注册页面 login2page.php - 登录页面 contactus.php - 客服页面 2. 漏洞测试万能密码尝试 SQL注入测试存储型XSS测试结果：未发现明显漏洞 3. 客服页面发现获取客服邮箱通过Google/Github搜索邮箱无果四、攻击尝试 1. 用户名爆破发现密码采用SHA1加密编写Python爆破脚本配合BurpSuite 持续半小时爆破未成功 2. 注册账户注册账户后三天仍处于审核状态推测管理员有严格审核机制 3. 手工测试测试常见PHP路径：结果：无重大发现 4. CMS识别类似phpcms、dedecms、echshop等CMS 但已有漏洞无法复现，可能是二次开发版本五、突破点发现 1. 测试信息泄露发现漂浮的"test"地址（5月13日） "优惠公告"中服务器时间错乱发现测试类信息 2. 图片上传分析发现异常图片地址：发现CDN图片存储： 3. CDN信息收集 CDN IP位于台湾扫描同级子域名发现大量赌博网站旁站查询发现庞大赌博网站网络六、SQL注入攻击 1. 注入点发现功能页面数据传输为字符型单引号测试导致数据库报错验证： 'and '1'='1 返回异常 'and '1'='2 返回正常确认为字符型注入 2. 使用sqlmap 成功爆出数据库但非DBA权限七、权限提升 1. 数据库分析翻阅三个数据库未找到管理员账号找到用户表 2. 客服账号发现在用户表中发现客服账号密码使用工具扫描找到后台地址成功登录客服账号 3. 更高权限发现发现"gpkcs9"用户确认其为系统运维账号（最高权限）发现多个管理员账号，揭示赌博网站规模 4. 后台发现发现两个彩票后台登录入口一个需要凭证（爆破无果）另一个可直接访问确认为"杀猪盘"运作模式八、总结与防范 1. 赌博网站运作特点多层加密和CDN隐藏真实地址严格审核机制防止渗透多级权限管理大规模网络运作 2. 赌博心理分析好奇心理：旁观导致迷恋刺激心理：金钱增加娱乐性贪婪心理：不劳而获难以放手翻本心理：越输越想翻盘侥幸心理：相信自己能赢回 3. 安全建议十赌九输，不赌为赢避免侥幸心理及时止损发现诈骗及时报警九、技术总结渗透测试流程信息收集（失败）目录扫描（失败）功能测试（发现注入点） SQL注入攻击（成功）权限提升（通过数据库信息）后台突破（发现管理功能）关键技巧关注测试信息泄露图片等资源可能暴露CDN信息字符型SQL注入的识别与利用数据库信息分析寻找权限提升机会十、法律声明本案例中获取的信息已移交有关部门处理。渗透测试必须在合法授权下进行，未经授权的测试可能构成违法行为。