记一次攻击钓鱼网站

最新推荐文章于 2024-02-10 19:36:58 发布
最新推荐文章于 2024-02-10 19:36:58 发布
阅读量1.4k 收藏 6
点赞数 3
分类专栏: 服务器 文章标签: 钓鱼网站 攻击钓鱼网站 压力测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39985298/article/details/115211648
版权

前言

一天我加班到很晚才回家,一打开steam,突然有人加我好友,我欣然接受,没想到这人上来就问我能不能给他投票,我一眼识破这肯定是想盗号啊,果不其然,他发来一个钓鱼网站。这个钓鱼网站是为了模仿5E对战平台,但模仿的非常拙劣。
网址:https://www.5weplay.com

公共资源举报

在这里插入图片描述

这个网站做的非常简单,主页面和一个登陆页面,主页面点啥都会让你跳转到登录页面,毕竟是为了盗号嘛,自然是想方设法要你登录。
在这里插入图片描述

这个登录界面做的不错(这根本就是拷贝的steam官方登录界面嘛,实则毫无工作量)
整个网站只有一个post请求,就是登录操作,可以说是非常简单了。
大晚上我只想打会儿游戏,只简单的浏览了一下网站,发现它用的大部分图片资源,都是国内一家图片免费托管平台,而且这个平台写明了欢迎举报违法资源,于是我就举报了,没想到迅速得到了反馈~~
在这里插入图片描述

这图片托管网站真不错

于是这个钓鱼网站充满了裂图,我想这总没人会被骗了吧~于是快乐的去打游戏了。

压力测试

大约过了一礼拜吧,闲暇中我突然想起这个钓鱼网站,跟同事讨论了一下怎么攻击,但这个网站只有一个post请求入口,属实不好搞,虽然一看就是用的很老的php框架,但sql注入这种攻击早就没啥用了,那好吧,干脆搞最简单的dos攻击呗,俺来给它上上压力测试!

先用fiddler抓包,整个请求非常简单

POST https://5weplay.com/auth.php HTTP/1.1
Host: 5weplay.com
Connection: keep-alive
Content-Length: 37
sec-ch-ua: "Google Chrome";v="89", "Chromium";v="89", ";Not A Brand";v="99"
Accept: */*
X-Requested-With: XMLHttpRequest
sec-ch-ua-mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.90 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: https://5weplay.com
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://5weplay.com/openids/login?openid.ns=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0&openid.mode=checkid_setup&openid.return_to=https%3A%2F%2Fhttps://5weplay.com%2F%3Flogin&openid.realm=https%3A%2F%2Fhttps://5weplay.com&openid.ns.sreg=http%3A%2F%2Fopenid.net%2Fextensions%2Fsreg%2F1.1&openid.claimed_id=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0%2Fidentifier_select&openid.identity=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0%2Fidentifier_select
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: __cfduid=d6df01f69d03726278561f2a25a79af961615814719; timezoneOffset=28800,0; FAKER_clear=40d89620b8fc7bbcbe856044cf3f0a14; 72766ab2b1c85af98adbbb9683600fdf=qqyaf5t47xc4a27; 2dxvogojlcccaa4=ek(.i%3Fg9saxvnym%23jzcw; cc053c564bdd3ff1973e724dfe360370=r9rnsYssGY; c7c5f3f1221e0fd7126c33554239d002=7fba18238ae53605b3a8a20fa6abc399; c29d1ae6e7d2bcdd0378dff39723d745=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%3D%3D

form-data:
doAuth=1&login=terert&password=wwerwq

用jmeter给它上点对抗~
在这里插入图片描述

构造好header后,设置一下线程数和循环次数(我这里比较懒,发送的登录信息全是一个,可以自己写个字典遍历一波),

在这里插入图片描述

设了10个线程,循环1000次,一共1万次请求,一开始对方服务器还顶得住,没一会儿就全报403错误了……服务崩了,哈哈
在这里插入图片描述

后续

估计没多久,对方的服务又会恢复正常,甚至很可能会把我ip拉黑,不过问题不大,我还有两台云服务器,到时候在服务器上攻击它~

进一步的想法,在服务器上,开定时脚本,检测他的服务是否恢复(这个也简单,http code返回200就行),一旦恢复就开始压测……有后续再记录吧

手把手教你肢解钓鱼网站
旅行de攻城狮
05-31 6024
引言 前些日子,一位大学老师的QQ被盗了,导致群发教育网站的链接,其中竟然还有一位同学中招!看来大家对钓鱼网站还不够警惕,就借这次机会,给大家展示一下钓鱼网站是怎么骗人的。撰写本文的想法也是源于郭燕老师的委托,再次向这位负责的老师表达一下敬佩之意。 场景回顾 首先,需要有一个被盗者的QQ向你发送一个钓鱼网站的链接,出于保护老师的个人隐私,我就不截图了,反正呢,就是收到这么一个链接。 http://b
钓鱼网站攻击过程
na1519的博客
06-09 2769
入侵行为分析之钓鱼网站攻击 2020.6.9 现如今,邮件、虚假网站、短信、电话等网络诈骗花样层出不穷,令人防不胜防。 尽管在安全技术人员眼里,网络钓鱼只是小菜一碟,但最近几年,网络钓鱼在全世界范围内变得非常猖獗,数量急剧攀升。面对层出不穷钓鱼网站,即使是高级的网络防火墙和强大的反病毒软件也无能为力。 最典型的网络钓鱼攻击是将受害者引诱到一个通过精心设计、与目标网站非常相似的钓鱼网站上,并获取受害者在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。 攻击原理 钓鱼网站攻击是指.
简单的攻击钓鱼网站
小傲傲的博客
07-13 1349
分析好了目标url然后分析好了json即可,我这里演示一个英雄联盟的钓鱼网站,我差点就被钓到了,还好我看了一下域名。 直接上代码,我用的是Android库 OKhttp 在java也适用。 我的IP以及被服务器封了 有兴趣的小伙伴复制了之后直接运行一下呗 哈哈哈 直接不做人-希望人没事 public class Test { public static void main(String[] args) { int i =0; while (true){
转载:【一次社会化的钓鱼攻击
weixin_30908707的博客
03-03 116
【以下为转载文章,出处:http://fz19.tk/ ,请尊重原作者 】 没想到,真是没想到,我居然差点就被钓鱼攻击给糊弄了。谨以此文纪念,告诉大家如何避免这种社会化的钓鱼攻击事件。 开讲: 中午,我突然看到一个学生的QQ给我发来消息了,由于平时有工作合作,所以我就点开来,一看,哦,是下面这个样子: 我想,哦,好吧,这是啥玩意儿呢?难道说是什么活动的照片么? 我就点开了这个...
网络钓鱼攻击
06-24 5643
网络钓鱼攻击常用方法  钓鱼攻击使用多种技术,使一封电子邮件信息或网页的显示同其运行表现出欺骗性差异。下面列出了一些较为常见攻击技术……# 一、发送电子邮件,以虚假信息引诱用户中圈套# 二、建立假冒网上银行、网上证券网站,骗取用户帐号密码实施盗窃# 三、利用虚假的电子商务进行诈骗# 四、利用木马和黑客技术等手段窃取用户信息后实施盗窃活动# 五、利用用户弱口令等漏洞破解、猜测用户帐号和密码# 六、复
一次HW溯源攻击实例.html
最新发布
10-27
一次HW溯源攻击实例时,文档可能会详细描述整个攻击过程,包括攻击的起始阶段、利用的漏洞、攻击者的行动步骤、目标系统中的反应、以及最终攻击者取得的成果。文档中可能还会包含对攻击者的追踪和定位过程的...
邮件钓鱼攻击溯源.pdf
07-05
邮件钓鱼攻击溯源是信息技术安全领域的一项重要工作,它要求安全专家或研究人员从技术层面上还原和分析一次或一系列钓鱼攻击的源头,从而揭露攻击者的身份、手法和动机,并为防范未来攻击提供参考。本文档详细录了...
钓鱼网站实施过程
s322936的博客
06-03 2536
网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力,因为这些信息使得他们可以假冒受害者进行欺诈性金融交易,从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯
一次被QQ邮箱钓鱼邮件事件
si1ence的博客
09-20 6584
0x0 背景 福无双至、祸不单行。本来是风和日丽的天气,白帽子在工地认真搬砖然后被一些所谓的负(dou)责(bi)人怼了,心里感觉到很委屈。准备下班之际莫名其妙收到了一封QQ邮箱弹窗点开一看直觉就是"这货有毒"。 0x1 过程 新学期课程表安排通知,感觉还是比较有针对性的,想一想自己前段时间加入一些考研群的,目测就是这些群里面的人吧。话不多说,就开启burpsuit看看通信过程。 一访...
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 013-网络安全应急技术与实践(Web层-XSS钓鱼攻击
热门推荐
时光隧道
02-10 10万+
XSS(跨站脚本)是一种常见的网络攻击技术,攻击者通过在受害者的网页中注入恶意脚本,来获取用户的敏感信息或执行恶意操作。因此,XSS高级钓鱼指的是通过XSS攻击手段来进行钓鱼行为,即通过在网页中注入恶意代码,并伪装成合法的网站或登录页面,从而诱使用户输入敏感信息。
攻破黑市最流行的钓鱼网站
dfdhxb995397的博客
07-31 663
这种类型的钓鱼网站最少有上百个了~我风在指尖今天要为民除害~~~自己伪装成买家,花了150,从黑市买到这种钓鱼源码,开始进行研究钓鱼站是这样的看他的源码,我们得知,有专门的一个脚本用来过滤我们的XSS过滤xss 脚本如下 [AppleScript]纯文本查看复制代码 ? 01 02 03 04 05 06 07 08 09 1...
6.2 网络钓鱼攻击
qq_55202378的博客
08-13 2万+
网络钓鱼 error
钓鱼网站骗子一点颜色看看---一个简单的攻击程序
ACM 【程式=演算法+資料結構】@蜡笔小轩V
12-25 2万+
群里有人发了一个骗子的链接,不知是被盗号还是怎么。 http://tuisend.china.com//cc/00AOLhttp://p.tl/4P9G 链接在中华网域名下,跟“中国领事馆”的主题配合得很好,能骗到不少2B青年了。 这个tuisend.china.com到底是啥?反正功能是可以提供url转向。猜想是个用来统计的接口什么的吧。“tuisend”?“推送”?
发现钓鱼网站,但是不会攻破,求大佬指示。
LeZaiJiongTu的博客
02-17 490
钓鱼网站是这个icerain.top:82/ 求一个大佬破坏 可以吗?不要让别人受骗了!
如何利用kali进行钓鱼网站攻击
v_14704的博客
10-02 2059
4.输入你的kali密码,如果没设置,一般的kali密码为:kali。输入后它不会显示你的密码!这样,我们的攻击就已经完成了!如果要让别人访问你的钓鱼网站就要用到【内网穿透】的知识了!对了,我们是【三月七讲编程】,欢迎到QQ小世界来关注我哦~加作者QQ好友的:3651666752,这是作者的QQ哦~10.上面是告诉我们,咱们的IP,一定要住!我们现在默认就行,也就是啥也别输入,回车就行!14.这时,我们刚刚kali告诉我们的IP就有用了!如果出现以下界面就代表克隆我们的钓鱼网站成功了,就已经开始钓鱼了!
巧用网页分析“反击”钓鱼网站
壹加贰等叁
07-21 1182
接触网络一段时间的用户都会多多少少遇到一些钓鱼网站,而作为开发者的我们遇到的钓鱼网站更是数不胜数,有时稍不留神就会被钓鱼网站将自己的重要信息钓走,对于钓鱼网站我们也是咬牙切齿,当我们发现钓鱼网站后,我们总是气愤后关闭离开,或者有些正义感的朋友会选择举报该网站。这一次我来讲个更绝的,通过分析钓鱼网站获得其传输方法,发送垃圾数据反击作者。 先说说今天的经历,今天早上去了一趟科技市场,回来发现自己
钓鱼网站攻击量增近九成
weixin_34150503的博客
07-03 186
报告显示,对移动端所拦截的钓鱼网站进行分类发现,境外彩票类比重最高,为53.9%。其他占比较高的类型包括网站被黑(13.1%)、金融证券(10.5%)、虚假购物(9.4%)以及假医假药(3.3%)等类型的钓鱼网站。 根据360互联网安全中心的监测数据,广东(34.5%)、广西(9.4%)、福建(6.8%)、湖南(6.3%)是钓鱼网站(根据域名统计)分布最...
钓鱼网站和垃圾邮件Email 是怎么骗走你的密码的(XSS***)
weixin_33787529的博客
02-03 352
本文通过一个例子,告诉你钓鱼网站和立即email 是如何骗走你密码的。 1.在浏览器中输入 [url]http://testasp.acunetix.com/Search.asp[/url] 2.在搜索栏中填写: <br><br>Please login with the form below before proceedin...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值