首页 > 暗组技术 > 实战入侵某“钓鱼”网站
2019
07-01

实战入侵某“钓鱼”网站

实战入侵某钓鱼网站

start:

起因:群里有个群有发了一个云文档,说他朋友扫了一下其中的二维码,号就被盗了然后无限转发垃圾广告,我以为又是哪位黑客搞到了腾讯的xss。于是我看了一下云文档,并且对其二维码进行了扫描。

扫描结果:是一个网址,URL为:www.waane.fun,于是我自发感叹,这不就是个钓鱼网站吗,根本不是我想要的腾讯xss,草泥马的,我心情很不好,我要干你。

下面开干:

各种脚本判断:


什么都没有?不可能的,因为钓鱼网站是需要一个后台来接收数据的,不可能是静态,毫无疑问,钓鱼者做了手脚,这就不行了?看了一下/admin,直接出来了后台目录:

5.png通过后台目录可以看到,这是个php,直接php 0day(此0day只有我有你们信吗)秒掉!

可以看到,到2019-07-01 17:21:48秒一共有769个网民被钓鱼网站盗号了。那我这岂不是坐收渔翁之利了?看了一下后台功能,并没有上传,以及任何可执行操作。只有一键导出“受害者”资料功能,我日。拿shell都拿不了,留后门也留不了,也可以说明,此网站的目的就是“资料”。非逼我用我珍藏多年的windows远程提权Exp?这里不展示。毕竟是珍藏。


                                                                                                                                                                                                                    -by剑心


本文》有 0 条评论

留下一个回复