前言：

我本老实人，你们这些钓鱼的却喜欢欺负我们这些老实人。
哼(▼ヘ▼#)

0x00 哪个女孩暗恋我？

昨晚刚躺在床上和女朋友在看小视频呢，突然手机弹出通知收到一份邮件。
“您有一个好友在《情侣空间》中将你设置为暗恋对象，并发送了一条蜜语：“对不起，我曾在意的你，想说声对不起，年少时太任性，有些话伤人不轻”。........”

截图如下；

女朋友一脸懵逼的看着我，完了...我心想这下解释不清又要跪键盘了。
女朋友一把夺过手机，"说，她是谁？ 说不清楚今晚跪键盘..."

为了维护我的膝盖，咋不能怂啊，我说媳妇你听我说，这是钓鱼网站，就是用来盗取我们QQ号码的。
我不信，你如何证明这是钓鱼网站？ 媳妇一脸懵逼的问我。

好看，看来不拿下这个钓鱼网站今晚又要委屈膝盖了。

0x01 尝试拿下钓鱼站

首先我们登录后可以看到，这是一个模拟QQ情侣首页的钓鱼模块。

我就顺手测试了一下后台,输入/admin后直接跳了出来。
看到这个登录界面后，我感觉有戏，因为这个登录界面和以前我们测试的一个钓鱼站是同一个模板。
这个模板是存在注入漏洞的，可以注入出管理员账号密码。

嘿嘿，掏出exp就是干。
首先跑出了管理员账号

然后跑出了密码的MD5

我们拿md5去解密，试试能否解密出来。
哈哈，很顺利，解密出来了。

登录后台看看

发现盗号者的IP，经查询是河南洛阳的。

后台每隔几分钟就有一个人中招

0x02 删库跑路

本着人道主义，不能轻易的让盗号者得逞，我删掉了后台钓鱼弄到的上百个账号密码。

添加了其中一个受害者小哥哥

是个做算法的小哥哥哦，哈哈，以后还是小心，别人发的链接不能随便点。

总结

1. 别人发的链接不要随便点。
2. 就算点开也不要输入你的账号信息
3. 另外今晚不用跪键盘了，哈哈。

注：本文原创，如需转载请注明文章链接及作者jasonx，谢谢。