前言:
我本老实人,你们这些钓鱼的却喜欢欺负我们这些老实人。
哼(▼ヘ▼#)
0x00 哪个女孩暗恋我?
昨晚刚躺在床上和女朋友在看小视频呢,突然手机弹出通知收到一份邮件。
“您有一个好友在《情侣空间》中将你设置为暗恋对象,并发送了一条蜜语:“对不起,我曾在意的你,想说声对不起,年少时太任性,有些话伤人不轻”。........”
截图如下;
女朋友一脸懵逼的看着我,完了...我心想这下解释不清又要跪键盘了。
女朋友一把夺过手机,"说,她是谁? 说不清楚今晚跪键盘..."
为了维护我的膝盖,咋不能怂啊,我说媳妇你听我说,这是钓鱼网站,就是用来盗取我们QQ号码的。
我不信,你如何证明这是钓鱼网站? 媳妇一脸懵逼的问我。
好看,看来不拿下这个钓鱼网站今晚又要委屈膝盖了。
0x01 尝试拿下钓鱼站
首先我们登录后可以看到,这是一个模拟QQ情侣首页的钓鱼模块。
我就顺手测试了一下后台,输入/admin后直接跳了出来。
看到这个登录界面后,我感觉有戏,因为这个登录界面和以前我们测试的一个钓鱼站是同一个模板。
这个模板是存在注入漏洞的,可以注入出管理员账号密码。
嘿嘿,掏出exp就是干。
首先跑出了管理员账号
然后跑出了密码的MD5
我们拿md5去解密,试试能否解密出来。
哈哈,很顺利,解密出来了。
登录后台看看
发现盗号者的IP,经查询是河南洛阳的。
后台每隔几分钟就有一个人中招
0x02 删库跑路
本着人道主义,不能轻易的让盗号者得逞,我删掉了后台钓鱼弄到的上百个账号密码。
添加了其中一个受害者小哥哥
是个做算法的小哥哥哦,哈哈,以后还是小心,别人发的链接不能随便点。
总结
- 别人发的链接不要随便点。
- 就算点开也不要输入你的账号信息
- 另外今晚不用跪键盘了,哈哈。
注:本文原创,如需转载请注明文章链接及作者jasonx,谢谢。
师傅 这套钓鱼网站源码有吗 没挖到注入 打算瞅瞅