Web渗透钓鱼网站

已于 2022-07-18 11:36:29 修改
阅读量1.5k 收藏 3
点赞数
文章标签: web安全 安全
于 2022-07-18 11:29:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1371688168/article/details/125845037
版权
本文详述了一次针对钓鱼网站的渗透测试过程。通过分析首页,找到后台地址并尝试弱口令登录失败后,发现了SQL盲注漏洞。使用AWVS扫描和Burp Suite配合Sqlmap进行漏洞利用,成功获取数据库信息、表名和列名,揭示了网站后台的潜在风险。
摘要由CSDN通过智能技术生成

拿到一个钓鱼的网站,先来看一下首页

鲜明的QQ钓鱼网站

用工具扫描一下后台地址

找到后台登入地址http://www.cpthyuiii.xyz/admin/login.php

先来尝试一下简单的弱密码admin/admin888,admin/password

发现登入不上去

第一想到的就是尝试后台万能账号密码绕过

点击登入,一样不能绕过

最低0.47元/天 解锁文章
码上优学
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
记一次渗透学习||钓鱼网站渗透
Summer's blog
05-13 1万+
文章目录前言故事起源故事开始故事高潮意外剧情番外篇测试中小技巧 前言 故事纯属虚构!请不要相信我瞎白话。 主要事情:日钓鱼网站 主要人物: 丞相 丞相大表哥有传言我丞相表哥是个富二代,高富帅,简直是黑阔界的担当。U1S1 丞相表哥是挺帅,有没有钱我就不知道了。 05 05是一个传说中的黑阔,相传黑阔界年龄最小的表哥。 我本人 相对前两位表哥,我简直就是个弟弟存在。 ...
网站输入正确账号密码页面刷新一下_对某钓鱼网站的一次渗透测试
weixin_39625864的博客
11-15 392
文章作者:Mochazz文章来源:Mochazz的博客原文链接:https://mochazz.github.io/2019/07/01/对某钓鱼网站的一次渗透测试/周末在某个CTF群偶然看到这个钓鱼网站:http://gggggg.cn (声明:本文中出现的域名、IP均被替换,并非真实存在,请勿测试),于是开始对该网站进行渗透。观察网站页面,可知这个网站应该是用来盗取QQ账号的。除了域...
拯救被钓鱼的小姐姐们(某钓鱼网站渗透过程)
Adminxe的博客
06-28 845
0x00前言 本来打算打王者来着,大哥突然收到一封邮件,标题为某学校2021学生总成绩单啥的,好家伙钓鱼钓到大哥头上了,勇敢牛牛,不怕困难,日他!!! 0x01开日!!! 哦吼,直接扫码看域名 http://xx.xxx.xx/app/app2/index.php?user=xxx&ta=xxx&=xxx 谢谢,有被low到,废话不多说御剑开扫。 ?拿捏,直接进后台找利用点。 弱口令打一波,抓包测一下,看看是否可以修改响应包,之后搞一下注入。 前两种方..
一次对钓鱼网站的渗透
最新发布
2301_80115097的博客
05-10 612
入一半突然没了。先是通过信息收集,网站源码泄露下载到源码,发现网站后台路径。然后通过网站收集qq密码的页面发现了报错注入,由此得到了后台账号和密码,进入后台。通过源码审计发现”备份王“的文件包含漏洞,接下来准备再通过注入得到”备份王“的账号和密码,然后就可以利用这个漏洞,再在后台尝试文件上传漏洞,如果可以。两个洞配合拿到websell。可惜啊!他跑路了。无了。我也不知道他收集qq和密码有什么目的,现在登录qq都需要手机端验证,有可能撞库其他什么平台密码。
记一次对钓鱼诈骗网站的渗透测试
渗透测试研究中心
01-05 808
一个学长前几天不幸在钓鱼网站中招被骗走一些资金,在联系有关部门前找到了我看看能不能获取到一些有用的信息以便于有关部门行动 在对网站进行初步信息收集后发现网站使用ThinkPHP 5.0.7框架,直接找到ThinkPHP对应版本的Exp进行尝试:http://www.hu*****.***/index.php?s=/index/\think\app/invokefunction&funct...
Web渗透技术及实战案例解析
04-24
Web渗透技术及实战案例解析》一书由陈小兵、范渊和孙立伟三位专家共同编著,深入探讨了网络安全领域中的Web渗透技术及其实际应用。这本书以电子工业出版社2012年4月出版,具有很高的实践指导价值。 Web渗透技术是...
Web安全渗透流程
07-21
以上章节概述了Web安全渗透的基本流程和技术,从信息收集到Web渗透的各种技巧和工具都有涉及。在实际操作中,还需要结合具体情况进行灵活运用。接下来的章节将详细介绍如何巩固和提升获得的权限、内网渗透技术以及...
web网络安全渗透
Kevinzkyy的博客
04-07 1107
1. Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 ...
web渗透信息收集知识总结
IerkeU的博客
12-05 3956
信息收集: 信息收集步骤? whois信息查询、网站备案信息查询、子域名信息收集,确定目标真实IP(CDN)、绕过CDN查找真实IP、端口服务探测 在线扫描、web应用指纹信息(CMS识别)、web目录探测、敏感文件、旁站、C段、WAF探测、网络空间资产搜索引擎信息收集 什么是信息收集? 信息搜集也称踩点,信息搜集毋庸置疑就是尽可能的搜集目标的信息,包括端口信息、DNS信息、员工邮箱等等看似并不起眼的一些信息都算是信息搜集,这些看似微乎其微的信息,对于渗透测试而言就关乎到成功与否了 信息搜集的分类 主动式
网络安全学习:渗透测试钓鱼案例,夯实基础
kali_Ma的博客
09-02 2573
简介 请注意: 本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。 名言: 你对这行的兴趣,决定你在这行的成就! 2021最新整理网络安全\渗透测试/安全学习(全套视频、大厂面经、精品手册、必备工具包)一>戳我拿<一 一、前言 网络钓鱼是社会工程学攻击方式之一,主要是通过对受害者心理弱点、本能反应、好奇心、信任、
网友发了个钓鱼网站,我用 Python 渗透了该网站所有信息
hackzkaq的博客
03-22 397
更多黑客技能 公众号:暗网黑客 前言: 这篇文章不是像大佬们所想的那样是来炫技的,更多的是来给大家科普一些实用的渗透工具和方法,我相信不是所有的人都用过文中提到的这些方法。来看看吧~ 刚才在知乎上看到一篇文章《你的QQ号是这么被偷走的!》,但是文章只是简单提到了一个伪造的 LOL 站点,嗯,就是这个【uvu.cc/ixMJ】 这明显是一个经过缩短链接处理的网站,打开后跳转到这个真实网址 【http://mfspfgp.top】 页面是下面这样的: 点击登录弹出一个对话框,让输入QQ号和密码,随便输入了一
LOL钓鱼网站实战渗透
独行侠梦的博客
07-04 1727
点击上方蓝字关注我们相信很多人都有遇到过这样的经历,无意中点到一些钓鱼网站,然后就泄露了自身信息,造成了一定的损失,对于这样的网站各位需警惕,千万不要乱点击来历不明的网站。今天我就来说说...
利用Web查询文件(.iqy)有效钓鱼
08-31 523
几天前我在Casey Smith的twitter上看到了有关iqy文件的一些介绍,和大多数渗透测试人员或者技术狂热者一样我也在探寻它的价值。能够通过使用本地/可信工具来构建一个Web查询,我想这是任何一个攻击者都不想错过的事情。 很快Casey在其twitter上发布了一个简单的PoC 这确实很简单,但是对于有效钓鱼已经十分足够了。IQY文件可用于SMB中继攻击,接下来
渗透测试 | 30分钟学会网络钓鱼“骚”姿势
yyyyyybw的博客
09-04 915
网络钓鱼是通过伪造银行或其他知名机构向他人发送垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。
干货技术,记载钓鱼网站的多次渗透
qq_44005305的博客
02-10 390
记一次对钓鱼网站的多次渗透0x01 首先我们对目标进行目录扫描,发现admin.php 进入发现是后台界面,右击查看网页源码我们复制title到百度搜索一下第一个是官网 我把源码下载,看了一遍,发现是一个叫 默笙密码管理系统V2.0 这套源码和钓鱼网站一致0x02 开始审计 这套cms是基于thinkphp的,所以我们直接跳到控制器开始审计 我们看到代码都是以Model对象的方式调用查询,所以基本不存在注入,所以我们看下有没有逻辑绕过漏洞,或者是隐藏的接口 0x03 首先审计Admin的控制器。
钓鱼网站制作 ---- Setoolkit 克隆web页面钓鱼
daibaohui的博客
02-09 4207
web页面钓鱼虽然是很久之前的技术了,但是一些新颖的想法加入其中使web钓鱼页面做得更加逼真的话,目标也很难辨别的。这个工具是用来生成钓鱼网站的,kali上已经集成了。 这里我用kali演示: 1、 选择第一项Social-Engineering Attacks (社会工程学攻击) 翻译: 2、接下来选择第二项Website Attack Vectors (网站攻击载体) 翻译: 3、第三项Credential Harvester Attack Method (凭证收割机攻击方法) ..
html做qq钓鱼网站,QQ钓鱼网站是什么?
weixin_39637363的博客
06-23 1803
QQ号被盗?被冻结?肯定是你登陆过第三方QQ钓鱼网站!QQ钓鱼网站顾名思义,就是利用高仿QQ活动或其他登录页面的网站,当你输入QQ号或密码登录该高仿页面后,账号就会立刻被盗或冻结!这种QQ钓鱼网站大多都是高仿游戏活动登录页面或者会员领取再或者是空间登录页面。就比如前一段时间很长见的“这里有你的照片,快来看看吧”,点进去后是一个QQ空间登录页面,和官方的登录页面一模一样,是看不出来真伪的。这种QQ钓...
渗透知识-CSRF攻击
Jian Sun_的博客
02-11 1003
CSRF攻击原理及测试方法 CSRF(Cross Site Request Forgery,跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。 一 CSRF攻击实例 CSRF攻击可在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作。 比如说,受害者Bob在银行有一笔存款,通过对银行的网站发送请求 htt...
Web渗透基础:持久XSS攻击与安全威胁解析
这只是一个简单的示例,实际的恶意脚本可能更加复杂,例如窃取用户cookie、会话信息或者重定向到钓鱼网站Web渗透的危害巨大,包括但不限于数据泄露、系统瘫痪、经济损失甚至影响社会稳定。企业和机构的敏感信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值