钓鱼网站 | 擒拿小记

原创 2018年04月17日 15:51:18

█ 2018.04.08 晚 19:18

又是一个寂静无人的夜晚,本通正在被Boss苦逼压榨自己的剩余劳动价值的时候,突然公司老铁在群里发了一条微信。

钓鱼网站 | 擒拿小记

点进去是一条新闻,大概述说了男主人公(以下简称X男)一段短暂惨痛被骗经历

新闻的主人公X男在陌陌上认识了某个“小姐姐”(加引号的原因大家都懂,谁知道是不是一个2米高的壮汉......陌圈水深,大家擦亮自己的钛合金大眼),和“小姐姐”聊了一会儿。

交友SOP下一步就是加微信

加了微信聊了一阵子后,大概聊出了一点感情。此时,“小姐姐”开始切入正题,向X男推荐了一个兼职刷单的网站。X男一开始试着刷了几次小额的单子,对方都及时返还了(人家目标可是一个“亿”)。当X男开始信任此种刷单真的能赚钱的时候,对方提供的单子金额变大了,规则也变复杂了,最后的结果就是在该网站上刷单后并没有返还X男刷单的钱。

诈骗SOP下一步就是逃之夭夭

“小姐姐”小目标达成,拉黑不送嘞嘿。可怜X男被骗了一万多,“小姐姐”也没了,人财两空。

这个故事告诉我们“陌陌都是有钱人玩的”。

钓鱼网站 | 擒拿小记

这个故事告诉我们

不要在寂寞的夜里和陌生人聊嗨,容易被“坏人”骗。

钓鱼网站 | 擒拿小记

其实,这个故事是告诉我们

X男遇上“钓鱼网站”啦!

作为普通市民的我们要擦亮“火眼金睛”

保护寄几和寄几的钱包

█ 2018.04.08 晚 19:26

程序猿的本能(搞点事情)

驱使着本通寻着网址进到这个刷单网站

(http://www.meilishuozs.com/index.php)

emmmm......这不就是ecshop嘛!

钓鱼网站 | 擒拿小记

查了一下域名的信息

在whois上查到该贵人的信息

钓鱼网站 | 擒拿小记

查了一下ecshop的版本

一个比较老版本的ecshop了

正面杠没什么意思

那看看爆mysql吧

emmmm......随手一试弱密码

他喵呜的!就进去了???

敢问苍天饶过谁!

钓鱼网站 | 擒拿小记

找到了user表

一看,管理员就出来了

于是就登录了后台

钓鱼网站 | 擒拿小记

钓鱼网站 | 擒拿小记

█ 2018.04.08 晚 19:26

这就算拿下了吧?

我还加了这个兄dei的扣扣,不知道会不会通过

顺手搜了一波ecshop的get shell的方法

找到一个大神的方法

通过修改语言项编辑、用户信息,插入webshell

成功菜刀连上。

钓鱼网站 | 擒拿小记

在此期间,仍有人不断上当受骗

钓鱼网站 | 擒拿小记

最后我也不知道要怎么做,交给各位表哥了

今夜的大事总结成一句话:

本通代表月亮,黑进了该钓鱼网站

钓鱼网站 | 擒拿小记

小秀了一波操作

接下来就是本通科普碎碎念时间

保护普通市民

从本通做起

〖什么是钓鱼网站?〗

钓鱼网站(Fishing Website)

钓鱼网站通常是指伪装成银行及电子商务等网站,以此来骗取用户银行或信用卡账号、密码等私人资料。一些恶意团购网站或购物网站,假借“限时抢购”、“秒杀”等噱头,让用户不假思索地提供个人信息和银行账号,这些黑心网站主可直接获取用户输入的个人资料和网银账号密码信息,进而获利。

〖如何识别钓鱼网站?〗

识别窍门

◆仔细核对网站域名:钓鱼网站一般都是在真网站的域名上做手脚,而且是很不容易发现的那种。For example,把常用的英文字母I换成数字1,把.cn换成.com。

◆比较网站内容:字体清晰,样式统一,栏目链接有效。钓鱼网站的字体一般模糊不清,字体样式也不一致。网站上没有链接,用户可以点击栏目或者图片中的各个链接看是否能打开,如打不开很有可能就是钓鱼网站。

◆查看网站安全证书:此类网站网址都是以"https"打头的,尤其是涉及输入密码等相关界面,表示已加密。如果发现不是"https"开头,就要提高警惕。

◆查验“可信网站”:不少网站已在网站首页底部放置第三方网站身份诚信认证标识,我们可以通过第三方网站身份诚信认证辨别网站真实性。

当然除了get以上窍门

还可以登录网络安全通平台:https://www.sectown.cn/

网络安全通专门准备了一节微课

助你了解更多钓鱼网站的知识

OA二次开发程序设计基础

小飞鱼OA二次开发课程是小飞鱼老师根据多年的OA开发经验设计了本开发基础课程,小飞鱼老师将复杂的程序开发语言经过精简,让初学者能够快速掌握最关键的知识点,避免陷入过多的技术细节之中,快速掌握最重要的知识点。
  • 2017年02月25日 22:05

关于钓鱼网站的实现原理与技术

最近闲的蛋疼~ 分析了一下钓鱼网站的原理与实现。 可选技术方案 1)域名蒙眼术; 2)dns支持; dns劫持的关键是拥有客户端操作系统的权限,比如给用户发一些病毒程序,安装浏览器插件这类来实现,这里...
  • MCool
  • MCool
  • 2016-01-26 09:56:52
  • 2745

钓鱼网站URL检测技术

  • 2012年12月12日 09:19
  • 303KB
  • 下载

钓鱼网站特征总结

RT。最近看了蛮多篇论文总结的。 特征是有了,关键是要想好怎么用。
  • rongyongfeikai2
  • rongyongfeikai2
  • 2016-09-18 21:40:26
  • 1296

钓鱼网站+邮件诈骗 实例分析

防网络诈骗分析
  • wwwdbs
  • wwwdbs
  • 2017-08-03 12:06:19
  • 1002

如何自己搭建钓鱼网站检测系统

0×01基本系统架构 随着电子商务、互联网金融的快速发展,在利益的驱使下,从事“钓鱼攻击”的黑产呈逐渐上升趋势。“钓鱼攻击”不仅对企业的品牌形象造成严重损害,还对用户的账户安全、甚至资金安全构成...
  • GarfieldEr007
  • GarfieldEr007
  • 2016-05-22 17:21:24
  • 2981

手把手教你肢解钓鱼网站

引言 前些日子,一位大学老师的QQ被盗了,导致群发教育网站的链接,其中竟然还有一位同学中招!看来大家对钓鱼网站还不够警惕,就借这次机会,给大家展示一下钓鱼网站是怎么骗人的。撰写本文的想法也是源于郭燕老...
  • yy19900806
  • yy19900806
  • 2015-05-31 17:18:23
  • 1062

怎么监控、识别和关闭钓鱼网站?

目前在网银、支付、团购等领域出现了大量的钓鱼网站,有没有方式可以在线实时监控并发现可疑钓鱼网站的技术? 互联网上每时每刻都会有新的域名、新的网站诞生。就是这种的互联网的开放性,使得互联网世界...
  • kfysck
  • kfysck
  • 2014-05-22 15:29:40
  • 2572

如何防范“信息泄露+钓鱼网站”典型网络诈骗模式

羊城晚报7日报道,不少市民向记者反映,他们在某网上购物商城注册了个人信息,并在该商城购物。岂料由于自己在该网站的个人信息被泄露,导致不少用户被骗,最多的一次被骗走12万元。 “信息泄露+钓鱼网站”...
  • liaoxj2046
  • liaoxj2046
  • 2015-05-13 16:28:49
  • 693

黑客点击:股市猎手的擒拿技巧

  • 2010年05月16日 13:54
  • 17.67MB
  • 下载
收藏助手
不良信息举报
您举报文章:钓鱼网站 | 擒拿小记
举报原因:
原因补充:

(最多只允许输入30个字)