当”XX荣耀”钓鱼网站遇上白帽子

释放双眼,带上耳机,听听看~!

遇上白帽子


此文章是连夜编辑好的,我在想如果文章的时间拖长了会影响文章的质量,我们迅速抽时间编辑排版文章,文章编辑排版到凌晨2点多并且自己亲自审了许多遍才去休息入眠。

某一天在群里群友发送了一条消息关于“王者XX钓鱼网站“让帮忙看看,看看就看看吧。

我们今天来给大家讲讲如何预防和检测这种钓鱼网站,一般这种网站的前端UI和后台都很菜,而且是批量的CMS,就那几套系统程序源代码,终是换汤不换药,安全检测的方法也是那几套不变的。

钓鱼网站千变万化,但是万变不离其宗。都是想钓鱼那些用户的信息,前端UI好看一点就完事了,后台就不是规范,所以在安全方面不会做的太好。

前期准备:

目标网站:

www.xxxx.tw

工具:

御剑后台扫描工具

 whois域名查询

       我们打开工具直接一顿乱扫,发现一个安装说明.txt文档,可以直接在浏览器中打开,里面有后台登录地址,默认初始后台登录密码


     由于网站已经打不开了,但是我保存了截图给大家演示检测说明完整全过程。
    我们找到了后台登录地址,

    打开地址:
    http://wxxxxxx6.tw/admin.php/login/index.html

    (后台地址我已经将其隐藏。)

     我们偿试了
安装说明.txt
中的
帐号和密码
,并不正确说明作者修改了默认的密码,我们怎么才能抓到它呢。
     接着看操作,我们操起
woihs域名信息查询工具


      通过whois域名查询我们发现了一个邮箱,然后将这个注册邮箱我们丢向搜索引擎,谷歌更好哦。


        我们可以确定就是这个人为作者,其中有一条百度快照”大量出一手群发黑信“我们通过邮箱找到当事人QQ并添加上。


       通过和当事人攀谈,向当事人坦白自己是小白要向它购买该钓鱼网站的源代码,对方开了个价300R,贫穷的我当然出不起这个钱。

      怎么办呢我们继续套路对方。

聊天内容如下:

       我:这个后台的帐户密码可以更改吗,我觉得不安全怕遭到攻击。

       钓鱼者:可以的,默认的帐号不安全可以改成你的QQ邮箱密码你自己设置。

       我:通过他的这段话可以知道他更改了后台的默认帐号和密码

       好了到这儿就结束吧,因为我们没办法了(那是不可能滴)。。。。

       还有就是我插了一张配图

钓鱼网站的作者我想对你说↓↓↓

         我们在于对方沟通的途中,他给我发来一张截图是login的介面,我们发现并不是他那个域名邮箱登录的,此号是另一个邮箱号码。


       我赶紧联系我们的工程师,把这个邮箱号码丢进他的YI级大数据系统,检索出对方的一些常用PASS信息,经过几轮偿试后秒了后台,成功登录。


总结如下:

       注意:人性都是贪婪的沟通中的技巧,我们可以在沟通中可以PS支付宝假的余额金额大一点,这样来骗取对方信任,如下图。


通过套路得来的对方支付宝帐号:


通过套路得来的对方微信帐号:


      注意:

     怎么套路其实非常简单,你可以先让对方发送给你微信交易帐号,然后假装说自己余额不足,再让其发送支付宝帐号。

       通过微信和支付宝,弄出了对方的真实姓名。


系统暴的BUG:


战果:


真实姓名:XX岩

支付宝帐号,微信帐号。

得到了对方两个QQ号码,

QQ号码1:27XXXXX

QQ号码2:28XXXXX


常用PASS:

XXXXXXXXX

XXXXXXXXXXX


成功登录后台地址:

http://XXXXXXXXXX.tw/admin.php/login/index.html


网站所使用的后台UICMS:

默笙开源源码

另外我们已经帮助作者对方清空了后台所有记录,不要感谢我。

本文源自微信公众号:渗透云笔记

人已赞赏
安全工具

渗透测试面试问题2019版,内含大量渗透技巧

2019-10-16 17:19:47

安全工具

常用Sqlmap命令指南

2019-10-16 17:20:23

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索