点击上方蓝字关注我们
相信很多人都有遇到过这样的经历,无意中点到一些钓鱼网站,然后就泄露了自身信息,造成了一定的损失,对于这样的网站各位需警惕,千万不要乱点击来历不明的网站。
今天我就来说说钓鱼网站的事,做了一个实战渗透的分析。
前言
早上看到某个群消息,发来了一个钓鱼网站,是lol一个活动的,可以,一年前抽皮肤也被这么钓鱼过,差点被盗号,这次直接干他!域名都不伪装一下,一看就知道是钓鱼。
过程
1、先看一下网页源码,顺便说一下,这个登录框,只有登录按钮是有用的,其余的如下图,都是空链接,点了也没反应的,红色箭头,是点击登录后,会请求的文件,很明显,你输入的账号密码就是通过请求这个文件,发送给对方服务端的。。
2、首先随便输入,点击登陆,发现竟然提示我输入正确账号?我还不信你能从腾讯数据库中验证我输入的内容了
3、尝试把账号写长一点,密码同样,ok成功登录,很明显只是耍了个小聪明,判断了用户输入内容前端js做了简单判断,然后就跳转到了真正的lol官网页面
找漏洞点
1、常规信息收集:目录、ip端口信息、子域名信息、whois、等等
l 目录
首先用dirsearch跑了一下目录,发现/config、/img、/include、/js、/style等等目录,访问了一下,都基本403,先放放
l Ip和端口和其他信息
发现ip为xxx.xxx.xx.xx,然后多地ping了下,发现并无cdn,whois也没查出什么,也没有进行备案,已经猜到了,钓鱼网站不可能还给你备个案,而且子域名也没有。
l 用nmap扫了一下端口和主机信息,看到为linux,并且开了80,5555,10010,9527端口,web方面先从80端口的http服务入手了。
l 刚才看源码的时候发现,登录后会请求一个2017.php页面,抓包看看有没有什么入口点吧,可以看到post有三个参数,并且登录后是302跳转,location重定向到真正的qq.com的子域名下,以达到欺骗效果
l 然后对有参数的地方进行注入判断,post的三个参数都判断过,没啥结果,然后抓包在cookie,Referer,User-agent处加*用sqlmap跑了,也没跑出什么,陷入困境。。
l 然后逐个目录访问一个,都是403。。。然后我用的是火狐,尝试添加一个XFF头,能不能绕过限制,但是发现并不能。。。
l 然后我再回到2017.php的页面再次判断,这时请求的时候火狐设置了XFF头,所以自动带上了X-Forwarded-For: 127.0.0.1,因为之前学习时,学到过xff头、client-ip等等接收ip的herader头都可能有注入,反正这时候也没其他思路了,试试
找到注入点
l 然后在127.0.0.1后面加一个单引号,哎,有变化了,注意对比上一个请求包中的状态码,这次变成了200
l 然后将数据包复制到1.txt,给XFF头加个*号,让sqlmap往这里注入
l python3 –r 1.txt –batch –level 5
可以看到成功判断出注入,数据库为mysql,注入类型时布尔和时间盲注
l 接着跑库名python3 -r 1.txt --batch --dbms=mysql --dbs
l 第三个库是空的,第二个库的表
python3 sqlmap.py -r 1.txt --batch --dbms=mysql -D sql_2xxx_com –tables
l Admin表,钓鱼网站后台账号密码到手了
后续我也没做啥操作了,反正不管咋样,输入啥信息一定要确定是否是正规安全网站,少进一些不良信息网站,你离网络安全就更进一步了。
1493
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
