记一次对钓鱼网站的简单渗透

醉情Boy · 发表于 2022-3-31 20:26

本帖最后由醉情Boy 于 2022-4-1 10:13 编辑

具体放在哪个板块不知道，如果大家发现钓鱼网站也可以发给我，惩戒一下。
处于对一些问题的考虑，网站地址接不放出来了
这个钓鱼站让正在备战高考中的我很不爽。特地腾出半个小时，淦它丫的。
这是我在吾爱的第一篇帖子。
-------------------------------------------------------------------------------------------------
网站的页面就是这样，不光吊QQ密码，sfz啥的都吊。
网站界面.png

思路有3种
1.扫后台爆破或者看看登录框能不能注入（万能密码）扫描无果
2.insert注入，但是发现没有回显的功能（尚未尝试）
3.xss盲打
xss原理，大家可以百度。

（1）抓包

（2）构造恶意请求
不难理解，u 和p的两个值分别对应用户名和密码，而这两个参数也会在后台显示，这就是可以尝试xss盲打的原因。（如果后台加过滤了就不能用了）
这里我就不放xss平台的地址了，有兴趣的朋友可以去百度，自己搭建一个也可以。

（3）坐等Cookie

我先前已经打过一次了

这里不光可以获取cookie，还有后台地址（因情况而定），权限足够的话，屏幕截图，记录键盘啥的都可以

（4）cookie欺骗进入后台
修改cookie直接访问后台首页而不是登录页面。

PS昨晚睡前我再次尝试，后台登录框雀食可以注入，不过有验证码，跑sqlmap可能费点事，太晚了就没手注，有兴趣的同学可以来找我交流一下。

Younger7 · 发表于 2022-5-22 11:53

skywalker0123 发表于 2022-5-21 08:01
你可以试试编码转换，或者把那玩意隐藏在照片里面

是的，编码试过了，但也会被检测到。后一种应该是onload事件，暂时没试，等有新的钓鱼站再试试

醉情Boy · 发表于 2022-4-2 09:52

hackerbob 发表于 2022-4-1 23:17
哈哈，楼主，我见到了好多这样类似的诈骗网站，b站上有专门搞这样的网站的up主，他当时写了个python脚本， ...

emmm我遇不到真么多，不知道为啥，好几天才看到写一个

chen6022522 · 发表于 2022-3-31 23:00

哈哈啥情况这是？

pipiji233 · 发表于 2022-4-1 00:09

不会又是phpstudy1那样的吧

gaowenconng · 发表于 2022-4-1 00:20

牛批牛批

chinasugar · 发表于 2022-4-1 00:56

非常厉害，佩服之中。

醉情Boy · 发表于 2022-4-1 06:21

pipiji233 发表于 2022-4-1 00:09
不会又是phpstudy1那样的吧

绝对是我原创的

醉情Boy · 发表于 2022-4-1 06:23

呃，我貌似留自己Qq了

醉情Boy · 发表于 2022-4-1 08:09

@涛之雨修改完毕

醉情Boy · 发表于 2022-4-1 08:14

@涛之雨

无聊网络 · 发表于 2022-4-1 09:58

是不是还要一直盯着自己的后台，不然很多ck是有有效时间的

帐号		自动登录	找回密码
密码			注册[Register]

[分享] 记一次对钓鱼网站的简单渗透

免费评分

个人中心