为什么网赌一直输？黑客对某菠菜平台“爬虫”测试告诉你

每当说起网络赌博这个话题，太多太多的人感慨万千，因为千千万万的人陷入网络赌博，无法自拔。像一些输的家破人亡、公司倒闭、、因为像这样的故事大街小巷都有耳闻、网上到处都是这样的故事。那么，既然明知道是输，明明知道是危险网站，为什么还要不顾一切的的去赌博呢。我想最重要的是应该没有从本质上去参透网络赌博的骗局，没有正真明白网络赌博的惊人黑幕。

一起来看看吧话不多说我们直接开始正题，打开了该平台首页我们发现就是一个在其内部成为BC综合盘而已，我自己也注册看了下，发现可以正常运行，那就代表该平台并没有收手，而是继续干这坑人的活。（此平台是某粉丝给我的）

其实这种网站和其他一些BC综合台一样，首页并没有太多的利用价值，我也就没有再进行任何测试了这个时候我们回到平台首页，发现会有一个代理，插一个话外题，代理大家都懂，其实就是给i平台进行引流，大部分都是已经输的走投无路的朋友选择做的。这个时候我们先注册了一个所谓的代理帐号，发现需要审核，但是同时我们意外的得到了他代理连接暗自下了决心就从这里开始。

大家可以看看这其实就是一个最简单不过的登录界面 ，不过需要验证码，但是我们可以直接删除验证码的参数，这样绕过验证，快捷又方便。很多平台登陆出都是XSS或者SQL注入，还有爆破之类的一些漏洞，我们进行测试就可以，但是我这个人没有得到预期的效果，都会测试一次，用payload跑一遍。其实很多的权重低的网站都可以绕过验证码登录，所以各位以后在上网的时候尽量避免访问一些低级网站，保护个人隐私和自己的安全。

其实稍微懂点 技术的朋友可以从上面两张图应该i就知道我FUZZ到的效果了，这个里面有长度360的数据包，返回的数字为1，大部分返回的是0.所FUZZ给渗透测试带来很多惊喜，自然这里也存在问题。

然后在这里测试延迟语句的时候的确延迟了，证明有盲点。然后我们 测试当前数据库名，其中就放出前两位因为名字就是网站的url不方便放出来

这两个图显示当期两个数据库前缀是108和1181然后我得到了当前数据库名字为 lv*****，根据ascll表得 到的，新手朋友可能需要一张表我顺便发出来

以此类推得到了管理员的账号密码，其次这个数据库存在多个网站的信息，不过目的达到了，再次我需要跑子域名，得到了他们的管理后台审核一下我的代理账号，密码进行登录就可以。

这样我们就拿顺利进到该平台内部，也就是相当于拥有该管理员权限可以查看一切，至于其他就不一一截图，但是我可以告诉大家，通过一系列的数据分析和研究，该平台存在一些“杀猪”模式，也就是放长线钓大鱼，开始小额下注的时候一直赢，这个时候被欲望冲昏了头脑，你会赢更多，选择大额，结果赢了很多却无法体现。还有就是设置NPC来和玩家对局，你看到的别人一直赢，其实就是管理员自己设置的机器人在陪你玩。现在大家懂了吗？

网赌  

举报