最近618活动可谓是热闹非凡,连一些黑产行业都要来凑个热闹,各种钓鱼网站层出不穷,手法变得那叫一个快!一个源码改个名,换几张图片就又成了犯罪分子里的工具。嚣张至极,今天俺代表村里用一部手机,慢慢揭开这张虚伪的面具!
进入正题
从某吧直接搜索钓鱼网站可以得到很多,我们随便挑一个!
就这个毒奶粉的吧!
先查查有没有可用的东西。whois查询得知
都是些虚假的信息,查查子域名和旁站还有cms识别一下(其实cms识别我是不抱希望的)
emmmm,信息收集这一块属实没啥有用的东西,换个角度入手,看看收信文件
xxooxx.php,传递方式为post,参数是u和p
想试试xss的后来发现被过滤了,<>会被随机转成其他符号。一个小小的钓鱼网站居然还知道防xss,佩服佩服。
后来看了一下服务器不是阿里云的,扫了一下目录出来个备份文件!估计骗子懒了,忘了删除。天助我也!
直接找到后台和账号
解密后md5为
登录看看
因为源码太过简陋,想getshell也不行。本次渗透到这里就结束啦。
文章版权声明
1 原创文章作者:汇维网,如若转载,请注明出处: https://www.52hwl.com/755.html
2 温馨提示:软件侵权请联系469472785#qq.com(三天内删除相关链接)资源失效请留言反馈
3 下载提示:如遇蓝奏云无法访问,请修改lanzous(把s修改成x)
4 免责声明:本站为个人博客,所有软件信息均来自网络 修改版软件,加群广告提示为修改者自留,非本站信息,注意鉴别
微信扫一扫 
支付宝扫一扫 