由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号李白你好及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

这几天在A市和B市奔波着，眼瞅着自己就要毕业了，必须得出来找份工作了。

和小伙伴在A市兜兜转转了几天，要不就是不合适没下文，要不就是给了offer，工资是在太低。心很累，然后就下B市了，看看B市还有没有一线生机。

(这篇文章是本人在面试的前一天，在B市某个咖啡馆写的，当时没有面试，在B市晃荡了一天，到最后只能在咖啡馆写文章了。直至今天重新写这篇文章时，网站已经不能访问了。)

和小伙伴合开了个房，晚上闲来无事，突发奇想就想着搜搜H的直播看看？（现在直播行业那么火，我们来看看小姐姐）

却误入了个萝莉吧？（首页图片很H这里就不放了）

想了想，首页这么暴露，必有诈。这种网站惯用套路就是注册需要转发链接，骗流量。还有就是骗钱，看个视频充个Vip之类的。

本着为民除害(搞事情)的心态，我开始了拿站之旅。其实刚开始都没有收集什么信息，凭直觉我就随手测试了一下解析漏洞。（这里又有一个坑，因为之前认真复习了解析漏洞，从漏洞原理认真理解了一遍，也发现了一些东西。想写篇文章一直没写。先占个坑~）

论坛的一些信息：dicuz论坛，nginx解析。

测试robots.txt正常，测试robots.txt/1.php返回不正常。对比之处在于robots.txt返回的content-type:text/plain，而robots.txt/1.php的content-type:text/html。（过去了好久了，现在这个网站已经不能访问了。）

接下来就是找到一个上传点就好了。先注册个账号，上传图像试试，发现图像是放在阿里的图床的，不放在服务器上面。后来在测试发帖的时候成功上传图片马。拿到shell。之后就是各种浏览了。

然后我发现进去之后浏览帖子，还要充钱？vip 99,超级vip,199?找了个超级vip的账号。然后我就笑了。

为什么会这样呢？然后我看了一下所谓的H视频

就tm标题出骨一点，其实就是街头的一些跟拍而已。

然后我又看一下vip，和超级vip的人数：

也是有一百多号的水鱼啊！！笑死~网上那么多免费资源你不看，偏要给钱人家？？想不懂！！还有这个网站的管理员发表的所谓声明。

哎呀，厉害了。网站上不去，估计是被人举报，网警叔叔干事了。

 看看域名信息（不打码）

反查看看，389条记录，这么多垃圾域名。细极思恐~~

还请网警叔叔加大力度，打击这些虚晃的黄网，拯救我国广大的花季少年啊！！

本篇文章没有什么技术含量，仅作为记录。（对了，网警叔叔这个就不要查水表了。）

对一个网站的渗透

内网代理Neo-reGeorg

对英雄联盟租号平台的渗透

BurpSuite靶场系列之身份验证

实战打穿外企的内网

文章来源：水泡泡

原文地址：https://www.cnblogs.com/r00tuser/p/7444139.html

如需转载本样式风格、字体版权，请保留出处：李白你好