前言: 這篇文章不是像評論區的某些大佬所想的那樣是來炫技的,更多的是來給大家科普一些實用的滲透工具和方法,我相信不是所在的人都用過文中提到的這些方法。 很多人學習python,不知道從何學起。很多人學習python,掌握了基本語法過後,不知道在哪裡尋找案例上手。很多已經做案例的人,卻不知道如何去學習 ...
前言:
這篇文章不是像評論區的某些大佬所想的那樣是來炫技的,更多的是來給大家科普一些實用的滲透工具和方法,我相信不是所在的人都用過文中提到的這些方法。
很多人學習python,不知道從何學起。
很多人學習python,掌握了基本語法過後,不知道在哪裡尋找案例上手。
很多已經做案例的人,卻不知道如何去學習更加高深的知識。
那麼針對這三類人,我給大家提供一個好的學習平臺,免費領取視頻教程,電子書籍,以及課程的源代碼!
QQ群:1097524789
剛纔在知乎上看到一篇文章《你的QQ號是這麼被偷走的!》,但是文章只是簡單提到了一個偽造的LOL站點,嗯,就是這個【uvu.cc/ixMJ】,這明顯是一個經過縮短鏈接處理的網站,打開後跳轉到這個真實網址
【http://mfspfgp.top】
頁面是下麵這樣的:
點擊登錄彈出一個對話框,讓輸入QQ號和密碼,隨便輸入了一個進去,居然都可以登錄,看來是一個簡單盜號的網站無疑咯。
我很好奇的是,現在人們的安全意識這麼高,這麼低級的盜號網站還能騙到人嗎?
算了,不管了,習慣性打開瀏覽器的開發者工具,先來看看這個盜號的POST過程。找到了,POST到這個地址:
http://mfspfgp.top/lollove.php
參數只有兩個:name和pass。
有了POST的鏈接和參數,就可以先來玩一下了,首先使用Python偽造瀏覽器頭,生成隨機的QQ號和密碼,然後利用requests來迴圈POST垃圾數據到對方的伺服器,畢竟主要目的是警示一下網站管理員,數據量就少點吧,10000差不多了,而且IP代理和多線程併發都懶得加了。
代碼跑起來了,非常鼓勵大家(尤其新手)採用類似手段給這個站點註入點垃圾信息,我估計釣魚站長看到資料庫中的這些垃圾數據,而且來自很多的IP地址,心理應該是崩潰的。
好了,就讓它繼續跑著吧,下麵來看看能不能挖掘些其他的東西。
註:
這個釣魚網站獲取到的賬號密碼不一定就寫入資料庫,而且寫入資料庫後也不一定有頁面進行顯示出來,所以XSS的難度很大。
而且網站也有可能是通過發郵件或者寫入文本等方式進行保存數據,現在郵箱系統更新補丁很快,感覺XSS也不好用。評論中有人說很輕鬆就可以XSS的,煩請告知具體的實現方法,非常感謝!
先PING一下這個功能變數名稱(mfspfgp.top),得到伺服器的IP地址(103.98.114.75)。
查了一下這個地址,是個香港的伺服器,也難怪,這樣不備案的功能變數名稱也只敢掛在外面的伺服器上了。
之後查了一下這個功能變數名稱的whois信息,得到一個QQ郵箱和一個手機號,當然這兩個聯繫方式也不一定是真的。
用QQ搜了一下這個QQ號,顯示是一個江西吉安的少年,而且他的QQ空間是開放的,進去看了一下,也沒有發現什麼有價值的東西,只看出這個小兄弟喜歡玩英雄聯盟和王者榮耀。
在搜索引擎上檢索這個QQ號以及對應的QQ郵箱也沒有找到任何有價值的信息,所以,上面這個QQ號的主人應該不是釣魚網站的主人,很有可能是被這個網站盜號了。
在微信里搜索了一下這個手機號,顯示地區是河南洛陽,而且他的微信頭像應該是他本人了。但是我不能確定他就是網站的所有者,所以就不放他的照片了。
之後,利用郵箱反查工具,查了一下這個郵箱還註冊了哪些網站,結果找出9個,發現其中有6個可以正常訪問。
這6個可以訪問的網址分別是:
http://fjkskda.top、http://jligyts.top、http://pfdqlql.top、http://yiqilin.top、http://zykjgkd.top、http://mfspfgp.top。
對應三種形式的詐騙網頁,分別是剛纔展示的【生日祝福】、【酷秀一夏】、【2017賽事正式開始】,後兩個頁面截圖分別如下:
這三種頁面的盜號方式全部一樣,所以順便將上面的程式對著其他的站點跑了一下,不用謝,我的名字叫雷鋒~
之後,將上面提到的網址全部Ping了一下,獲取了全部的IP地址,擇其中物理位置最詳細的那個IP來試試吧。
首先在WhatWeb裡面檢索一下這個IP地址,即可知道這個網站採用的是nginx1.8.1伺服器,使用的是5.5.38版本的PHP。
然後用nmap掃了一下埠和運行的服務,發現開放的埠還是蠻多的。
PORTSTATESERVICE1/tcpopentcpmux3/tcpopencompressnet4/tcpopenunknown6/tcpopenunknown7/tcpopenecho9/tcpopendiscard...省略...61900/tcpopenunknown62078/tcpopeniphone-sync63331/tcpopenunknown64623/tcpopenunknown64680/tcpopenunknown65000/tcpopenunknown65129/tcpopenunknown65389/tcpopenunknown
(題外話:上面那個62078埠對應的iphone-sync服務感覺有點像蘋果同步啥的~)
然後用w3af來檢測網站的一些弱點,進而獲取一些重要信息。但是不知道怎麼回事,這次運行w3af出現了線程出錯,導致沒有順利完成掃描,所幸的是,掃出來一個敏感鏈接:
http://103.27.176.227/OGeU3BGx.php。
用瀏覽器訪問這個鏈接,顯示的是一個錯誤頁面,但是下麵出現了一個關鍵信息:Poweredbywdcp
點擊wdcp進入其官方頁面,看到瞭如下重要信息,這個網站還貼心地給出了一個體驗站點:
http://demo.wdlinux.cn
大家可以去試試。
這樣就知道了上面那個釣魚網站的後臺地址了:
http://103.27.176.227:8080
另外,我剛纔去那個體驗站點試了試,發現在修改密碼的時候,用戶名一直是admin,修改不了,加上原來的登錄頁面沒有驗證碼,估計可以嘗試暴力破解。
用sqlmap掃了一下登錄表單的註入點,發現並沒有找到。
難道真的只有通過密碼庫來暴力破解了嗎?還在思考中。。。
結束語:
使用DDOS等技術也許可以很輕鬆擊垮這樣的釣魚站點,但是站長分分鐘給你再造幾十個出來,這樣受害的人也許會更多。
所以本篇文章的目的就是給那些入門的人科普一下常見的滲透工具,這樣當自己遇到類似情況的時候能有所幫助,只有讓更多的知友認識到釣魚網站的危險,學會利用上面的方法來保護自己的信息安全,這樣才有意義,你們說呢?
