本文作者分享了在日常渗透测试中如何利用贷款网站模板漏洞进行预警,防止诈骗。作者提供了一个Python脚本,用于爬取后台注册信息并进行空间引擎匹配,从而批量整理和预警潜在受害人。
本文作者:mzfuzz(Ms08067实验室成员)
前言
日常渗透测试中,不间断的测试会让自己有一种重复劳动的感觉,同时也越来越觉得技术如果要提现其价值,关键要看要看如何去操作技术输入的价值。
虽然是从下面自己只花费不到几个小时,这只是日常工作的一部分。
同时圈子里应该有做此类业务的同行,也希望能借此帮更多的人。
同时希望能认识更多的做反诈的人员,一起学习,一起了解新tip。
我自己有收集各类诈骗网站的0day和各种漏洞库,我会共享,欢迎骚扰!!
挖掘贷款摸版漏洞--》发现同摸版网站--》利用漏洞数据解析整理 --》 输入预警受害人!!
贷款摸版x漏洞
网站案例:pajr1.ygbnca.top#
网站后台:
pajr1.admin.ygbnca.top
网站漏洞:
直接修改后台登录返回包json字段
HTTP/1.1 200 OK
Server: nginx
Date: Wed, 09 Sep2020 04:30:55 GMT
Content-Type:application/json; charset=utf-8
Content-Length:67
Connection: close
ETag:W/"43-Y6MfBUqxiWugFPgNS2kafYJXCks"
Set-Cookie:phpsession=s%3ATbyQ4x_nVrjE1pKuqhGfI1S3Dzd60cNi.Fsxsm9rZAVxLktelnx5ddZjMmJFwE7weWwTChRZv1WY;Path=/; HttpOnly
Vary:Accept-Encoding
{"success":true,"error":"","errcode":0,"data":{"username":"admin"}}
数据爬取思路
爬取后台近2天的注册人信息进行预警,通过空间引擎进行通摸版进行匹配。
然后批量进行后台2天注册人信息整理。
具体python 脚本见下面:
import requests
import urllib3
fromconcurrent.futures import ThreadPoolExecutor,
最低0.47元/天 解锁文章
扫一扫
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
