News:禁止使用本博客的技术文章、源码、工具等用于非法用途,否则后果自负。

记一次被邮件钓鱼到差点跪键盘的全过程

jasonx 137 0 条

前言:

我本老实人,你们这些钓鱼的却喜欢欺负我们这些老实人。
哼(▼ヘ▼#)

0x00 哪个女孩暗恋我?

昨晚刚躺在床上和女朋友在看小视频呢,突然手机弹出通知收到一份邮件。
“您有一个好友在《情侣空间》中将你设置为暗恋对象,并发送了一条蜜语:“对不起,我曾在意的你,想说声对不起,年少时太任性,有些话伤人不轻”。........”

截图如下;
1.png

女朋友一脸懵逼的看着我,完了...我心想这下解释不清又要跪键盘了。
女朋友一把夺过手机,"说,她是谁? 说不清楚今晚跪键盘..."

为了维护我的膝盖,咋不能怂啊,我说媳妇你听我说,这是钓鱼网站,就是用来盗取我们QQ号码的。
我不信,你如何证明这是钓鱼网站? 媳妇一脸懵逼的问我。

好看,看来不拿下这个钓鱼网站今晚又要委屈膝盖了。

0x01 尝试拿下钓鱼站

首先我们登录后可以看到,这是一个模拟QQ情侣首页的钓鱼模块。

2.png

我就顺手测试了一下后台,输入/admin后直接跳了出来。
看到这个登录界面后,我感觉有戏,因为这个登录界面和以前我们测试的一个钓鱼站是同一个模板。
这个模板是存在注入漏洞的,可以注入出管理员账号密码。

3.png

嘿嘿,掏出exp就是干。
首先跑出了管理员账号

4-1.png

然后跑出了密码的MD5

4.png

我们拿md5去解密,试试能否解密出来。
哈哈,很顺利,解密出来了。

5.png

登录后台看看

6.png

发现盗号者的IP,经查询是河南洛阳的。

7.png

后台每隔几分钟就有一个人中招

8.png

0x02 删库跑路

本着人道主义,不能轻易的让盗号者得逞,我删掉了后台钓鱼弄到的上百个账号密码。

添加了其中一个受害者小哥哥

9.png

是个做算法的小哥哥哦,哈哈,以后还是小心,别人发的链接不能随便点。

10.png

总结

  1. 别人发的链接不要随便点。
  2. 就算点开也不要输入你的账号信息
  3. 另外今晚不用跪键盘了,哈哈。

注:本文原创,如需转载请注明文章链接及作者jasonx,谢谢。

发表我的评论

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址