偶遇一個釣魚網(wǎng)站，于是就簡單玩了一下...

時間：2023-05-14 15:27:02 | 來源：網(wǎng)站運營

時間：2023-05-14 15:27:02 來源：網(wǎng)站運營

偶遇一個釣魚網(wǎng)站，于是就簡單玩了一下...：（前言：這篇文章不是像評論區(qū)的某些 dalao 所想的那樣是來炫技的，更多的是來給大家科普一些實用的滲透工具和方法，我相信不是所有的人都用過文中提到的這些方法。如果你覺得文章沒有達到你要求的深度，完全可以不看，直接走人，真心沒有必要故意留下惡心人的評論，顯示你自己多么多么牛逼。謝謝~）




剛才在本站上看到一篇文章《你的QQ號是這么被偷走的！》，但是文章只是簡單提到了一個偽造的 LOL 站點，嗯，就是這個【uvu.cc/ixMJ】，這明顯是一個經(jīng)過縮短鏈接處理的網(wǎng)站，打開后跳轉(zhuǎn)到這個真實網(wǎng)址【http://mfspfgp.top】，頁面是下面這樣的：

點擊登錄彈出一個對話框，讓輸入QQ號和密碼，隨便輸入了一個進去，居然都可以登錄，看來是一個簡單盜號的網(wǎng)站無疑咯。

我很好奇的是，現(xiàn)在人們的安全意識這么高，這么低級的盜號網(wǎng)站還能騙到人嗎？

算了，不管了，習慣性打開瀏覽器的開發(fā)者工具，先來看看這個盜號的 POST 過程。找到了，POST 到這個地址：http://mfspfgp.top/lollove.php ，參數(shù)只有兩個：name 和 pass。

有了 POST 的鏈接和參數(shù)，就可以先來玩一下了，首先使用 Python 偽造瀏覽器頭，生成隨機的 QQ 號和密碼，然后利用 requests 來循環(huán) POST 垃圾數(shù)據(jù)到對方的服務(wù)器，畢竟主要目的是警示一下網(wǎng)站管理員，數(shù)據(jù)量就少點吧，10000差不多了，而且 IP 代理和多線程并發(fā)都懶得加了。

代碼跑起來了，非常鼓勵大家（尤其新手）采用類似手段給這個站點注入點垃圾信息，我估計釣魚站長看到數(shù)據(jù)庫中的這些垃圾數(shù)據(jù)，而且來自很多的 IP 地址，心理應(yīng)該是崩潰的。

好了，就讓它繼續(xù)跑著吧，下面來看看能不能挖掘些其他的東西。

（注：這個釣魚網(wǎng)站獲取到的賬號密碼不一定就寫入數(shù)據(jù)庫，而且寫入數(shù)據(jù)庫后也不一定有頁面進行顯示出來，所以 XSS 的難度很大。而且網(wǎng)站也有可能是通過發(fā)郵件或者寫入文本等方式進行保存數(shù)據(jù)，現(xiàn)在郵箱系統(tǒng)更新補丁很快，感覺 XSS 也不好弄。評論中有人說很輕松就可以 XSS 的，煩請告知具體的實現(xiàn)方法，非常感謝！）

先 PING 一下這個域名（mfspfgp.top），得到服務(wù)器的 IP 地址（103.98.114.75）。

查了一下這個地址，是個香港的服務(wù)器，也難怪，這樣不備案的域名也只敢掛在外面的服務(wù)器上了。

之后查了一下這個域名的 whois 信息，得到一個 QQ 郵箱（2030199508@qq.com）和一個手機號（15036363265），當然這兩個聯(lián)系方式也不一定是真的。

用 QQ 搜了一下這個 QQ 號（2030199508），顯示是一個江西吉安的少年，而且他的 QQ 空間是開放的，進去看了一下，也沒有發(fā)現(xiàn)什么有價值的東西，只看出這個小兄弟喜歡玩英雄聯(lián)盟和王者榮耀。

在搜索引擎上檢索這個 QQ 號以及對應(yīng)的 QQ 郵箱也沒有找到任何有價值的信息，所以，上面這個 QQ 號的主人應(yīng)該不是釣魚網(wǎng)站的主人，很有可能是被這個網(wǎng)站盜號了。

在微信里搜索了一下這個手機號（15036363265），顯示地區(qū)是河南洛陽，而且他的微信頭像應(yīng)該是他本人了。但是我不能確定他就是網(wǎng)站的所有者，所以就不放他的照片了。




之后，利用郵箱反查工具，查了一下這個郵箱還注冊了哪些網(wǎng)站，結(jié)果找出 9 個，發(fā)現(xiàn)其中有 6 個可以正常訪問。

這 6 個可以訪問的網(wǎng)址分別是：http://fjkskda.top 、http://jligyts.top 、http://pfdqlql.top 、http://yiqilin.top 、http://zykjgkd.top 、http://mfspfgp.top 。

對應(yīng)三種形式的詐騙網(wǎng)頁，分別是剛才展示的【生日祝?！?、【酷秀一夏】、【2017賽事正式開始】，后兩個頁面截圖分別如下：




這三種頁面的盜號方式全部一樣，所以順便將上面的程序?qū)χ渌恼军c跑了一下，不用謝，我的名字叫雷鋒~




之后，將上面提到的網(wǎng)址全部 Ping 了一下，獲取了全部的 IP 地址，擇其中物理位置最詳細的那個 IP 來試試吧。

首先在 WhatWeb 里面檢索一下這個 IP 地址，即可知道這個網(wǎng)站采用的是 nginx 1.8.1 服務(wù)器，使用的是 5.5.38 版本的 PHP。

然后用 nmap 掃了一下端口和運行的服務(wù)，發(fā)現(xiàn)開放的端口還是蠻多的。




PORT STATE SERVICE1/tcp open tcpmux3/tcp open compressnet4/tcp open unknown6/tcp open unknown7/tcp open echo9/tcp open discard...省略...61900/tcp open unknown62078/tcp open iphone-sync63331/tcp open unknown64623/tcp open unknown64680/tcp open unknown65000/tcp open unknown65129/tcp open unknown65389/tcp open unknown（題外話：上面那個 62078 端口對應(yīng)的 iphone-sync 服務(wù)感覺有點像蘋果同步啥的~）

然后用 w3af 來檢測網(wǎng)站的一些弱點，進而獲取一些重要信息。但是不知道怎么回事，這次運行 w3af 出現(xiàn)了線程出錯，導致沒有順利完成掃描，所幸的是，掃出來一個敏感鏈接：http://103.27.176.227/OGeU3BGx.php。

用瀏覽器訪問這個鏈接，顯示的是一個錯誤頁面，但是下面出現(xiàn)了一個關(guān)鍵信息：Powered by wdcp

點擊 wdcp 進入其官方頁面，看到了如下重要信息，這個網(wǎng)站還貼心地給出了一個體驗站點：http://demo.wdlinux.cn，大家可以去試試。

這樣就知道了上面那個釣魚網(wǎng)站的后臺地址了：http://103.27.176.227:8080

另外，我剛才去那個體驗站點試了試，發(fā)現(xiàn)在修改密碼的時候，用戶名一直是 admin，修改不了，加上原來的登錄頁面沒有驗證碼，估計可以嘗試暴力破解。

用 sqlmap 掃了一下登錄表單的注入點，發(fā)現(xiàn)并沒有找到。

難道真的只有通過密碼庫來暴力破解了嗎？還在思考中。。。




（結(jié)束語：使用 DDOS 等技術(shù)也許可以很輕松擊垮這樣的釣魚站點，但是站長分分鐘給你再造幾十個出來，這樣受害的人也許會更多。所以本篇文章的目的就是給那些入門的人科普一下常見的滲透工具，這樣當自己遇到類似情況的時候能有所幫助，只有讓更多的知友認識到釣魚網(wǎng)站的危險，學會利用上面的方法來保護自己的信息安全，這樣才有意義，你們說呢？）