当"XX荣耀"钓鱼网站
遇上白帽子
此文章是连夜编辑好的,我在想如果文章的时间拖长了会影响文章的质量,我们迅速抽时间编辑排版文章,文章编辑排版到凌晨2点多并且自己亲自审了许多遍才去休息入眠。
某一天在群里群友发送了一条消息关于“王者XX钓鱼网站“让帮忙看看,看看就看看吧。
我们今天来给大家讲讲如何预防和检测这种钓鱼网站,一般这种网站的前端UI和后台都很菜,而且是批量的CMS,就那几套系统程序源代码,终是换汤不换药,安全检测的方法也是那几套不变的。
钓鱼网站千变万化,但是万变不离其宗。都是想钓鱼那些用户的信息,前端UI好看一点就完事了,后台就不是规范,所以在安全方面不会做的太好。
前期准备:
目标网站:
www.xxxx.tw
工具:
御剑后台扫描工具
whois域名查询
我们打开工具直接一顿乱扫,发现一个安装说明.txt文档,可以直接在浏览器中打开,里面有后台登录地址,默认初始后台登录密码。
由于网站已经打不开了,但是我保存了截图给大家演示检测说明完整全过程。 我们找到了后台登录地址,
打开地址:
http://wxxxxxx6.tw/admin.php/login/index.html
通过whois域名查询我们发现了一个邮箱,然后将这个注册邮箱我们丢向搜索引擎,谷歌更好哦。
我们可以确定就是这个人为作者,其中有一条百度快照”大量出一手群发黑信“我们通过邮箱找到当事人QQ并添加上。
通过和当事人攀谈,向当事人坦白自己是小白要向它购买该钓鱼网站的源代码,对方开了个价300R,贫穷的我当然出不起这个钱。
怎么办呢我们继续套路对方。
聊天内容如下:
我:这个后台的帐户密码可以更改吗,我觉得不安全怕遭到攻击。
钓鱼者:可以的,默认的帐号不安全可以改成你的QQ邮箱密码你自己设置。
我:通过他的这段话可以知道他更改了后台的默认帐号和密码。
好了到这儿就结束吧,因为我们没办法了(那是不可能滴)。。。。
还有就是我插了一张配图
钓鱼网站的作者我想对你说↓↓↓
我们在于对方沟通的途中,他给我发来一张截图是login的介面,我们发现并不是他那个域名邮箱登录的,此号是另一个邮箱号码。
我赶紧联系我们的工程师,把这个邮箱号码丢进他的YI级大数据系统,检索出对方的一些常用PASS信息,经过几轮偿试后秒了后台,成功登录。
总结如下:
注意:人性都是贪婪的沟通中的技巧,我们可以在沟通中可以PS支付宝假的余额金额大一点,这样来骗取对方信任,如下图。
通过套路得来的对方支付宝帐号:
通过套路得来的对方微信帐号:
注意:
怎么套路其实非常简单,你可以先让对方发送给你微信交易帐号,然后假装说自己余额不足,再让其发送支付宝帐号。
通过微信和支付宝,弄出了对方的真实姓名。
系统暴的BUG:
战果:
真实姓名:XX岩
支付宝帐号,微信帐号。
得到了对方两个QQ号码,
QQ号码1:27XXXXX
QQ号码2:28XXXXX
常用PASS:
XXXXXXXXX
XXXXXXXXXXX
成功登录后台地址:
http://XXXXXXXXXX.tw/admin.php/login/index.html
网站所使用的后台UICMS:
默笙开源源码
另外我们已经帮助作者对方清空了后台所有记录,不要感谢我。
推荐阅读:
追溯谁是10086钓鱼网站幕后主使?
当钓鱼网站遇上白帽子黑客 为什么“微信支付”官方会发来钓鱼链接
看我如何登录你的淘宝账号 黑客是这样黑掉LED显示器(附视频全过程) 我给网线背后的"键盘侠"打了个电话并骂了对方一通
下面是撸羊毛时间:
扫描二维码下载更省app,输入内部密令:撸羊毛
不收费,无限制,直接合伙人享受最高返利!!!
扫码下载成功后里面免费领东西!!!
领的截图订单发送给我领取神秘邀请码!!!
“IT同路人”微信公众号
投稿邮箱:[email protected]
推荐阅读:
臺灣ICP000000001
sitemap
歡迎關註,獲取最新資源
您好站长,申请贵站收录 网站名称:...
提交链接
@5ZN2liXC:您好,已经添加了哦!...
提交链接
您好站长,申请贵站收录 网站名称:...
提交链接
@5ZN2liXC:您好,已经添加了哦!...
提交链接
类别:博客站点 名称:小报童专栏 地...
提交链接
类别:在线工具 名称:夸克搜 地址:...
提交链接