黑客对钓鱼网站的一次入侵

黑客对钓鱼网站的一次入侵

入侵渗透hacker2019-07-12 21:15:0916735A+A-

礼拜天在其他CTF群巧合见到这个诈骗网站:.com://gggggg.Cn (声明函:文中中出现的备案域名、iP均被更换,并不真实存在,不可检测),因此开始对该网站进行渗入。观察网页页面,推测这个网站应该是用于盗取QQ账户的。除了备案域名没有一点迷惑性,网页页面做的还好。

对某诈骗网站的一次渗透测试

如果用户不注意,点击了 立即申请撤销 ,就会跳出来一个登陆框。如果用户键入QQ账户密码,网站后台就会马上纪录到数据库查询中。

对某诈骗网站的一次渗透测试

先加 dirsearch 扫一下文件目录文档,并查看是否有可利用的功能点。

对某诈骗网站的一次渗透测试

同时通过网页页面源代码、网站提供的功能,找到如下几个插口:

对某诈骗网站的一次渗透测试

飞快,在登陆处就发现存在 SQL引入 了。直接扔进 sqlmap 跑,数据文件结构如下:

跑了一上午, sqlmap 可以鉴别出引入的类型,但是一直注出不来数据,猜想存在 WAF 干挠,之后发现是宝塔的 WAF 。因此开始半自动检测,只注出了当今用户、数据库查询版本号、当今数据库查询名、表名信息。

对某诈骗网站的一次渗透测试

利用基本的扫面方法也没发现网站后台具体位置,因此想获知该网站使用的 web 手机应用程序是否开源系统的,如果是网络上搜的到的,就弹出来证券方面。运气好的话,就可以直接通过证券方面拿shell了。 云悉web指纹识别 鉴别结果如下:

指纹识别Python/5.4.45,宝塔控制面板,Nginx,

语种

玻璃容器

系统软件

发现并没什么实用的信息,因此开始试着 google hack 。前边我们有发现一个 xxxxxx_login.Python 的插口,通过英语的语法: inurl:xxxxxx_login.Python 采集到大量相同的网站。

对某诈骗网站的一次渗透测试

经过检验,还能正常网络访问的网站地址如下,并继续对这些网站进行检测。

对某诈骗网站的一次渗透测试

最初的时候,有对目标 .com://gggggg.Cn 进行过灵敏数据泄露的检测,但是并没有发现实用的信息。之后一样对上面的这些网站进行检测,结果就发现了 git 泄漏的问题。但是会发现通过 git 泄漏还原成的编码不全,而在已还原成的编码中除了 SQL引入尚未发现其他系统漏洞。但是我们还是可以通过这个发现一些实用信息,例如在图为中,我的发现网站后台文件目录以及一个数据库备份文档。通过这个数据库备份文档,我们可以直接得到管理人的账户密码。

对某诈骗网站的一次渗透测试

网站后台登陆进来大概是这个樣子的,可以看文件大小还是不少的,别忘记这只是其中个网站的数据。

对某诈骗网站的一次渗透测试

在对网站功能测试几番后,尚未发现可写 shell 的地方。因此开始探寻其他系统漏洞。先通过 htpp://put-site-ip.Com 获得网站真实iP(同时通过其他方法证明该 iP 的确是目标 iP )。

对某诈骗网站的一次渗透测试

之后对所查询网站的 iP 进行端口扫描,并对相对端口号进行工程爆破等检测。

对某诈骗网站的一次渗透测试

未果,遂完毕此次渗入。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 5条评论
  • 辞眸雨安2022-05-30 19:45:16
  • 时通过其他方法证明该 iP 的确是目标 iP )。对某诈骗网站的一次渗透测试之后对所查询网站的 iP 进行端口扫描,并对相对端口号进行工程爆破等检测。对某诈骗网站的一次
  • 辞眸做啡2022-05-30 13:15:50
  • P )。对某诈骗网站的一次渗透测试之后对所查询网站的 iP 进行端口扫描,并对相对端口号进行工程爆破等检测。对某诈骗网站的一次渗透测试未果,遂完毕此次渗入。
  • 依疚疚爱2022-05-30 18:55:09
  • 了 SQL引入尚未发现其他系统漏洞。但是我们还是可以通过这个发现一些实用信息,例如在图为中,我的发现网站后台文件目录以及一个数据库备份文档。通过这个数据库备份文档,我们可以直接得到管理人的账户密码。对某诈骗
  • 辙弃迷麇2022-05-30 18:25:56
  • 用于盗取QQ账户的。除了备案域名没有一点迷惑性,网页页面做的还好。对某诈骗网站的一次渗透测试如果用户不注意,点击了 立即申请撤销 ,就会跳出来一个登陆框。如果用户键入QQ账户密码,网站后台就会马上纪录到数据
  • 忿咬卿绡2022-05-30 16:53:41
  • 的话,就可以直接通过证券方面拿shell了。 云悉web指纹识别 鉴别结果如下:指纹识别Python/5.4.45,宝塔控制面板,Nginx,语种玻璃容器系统软件发现并没什么实用的信息

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理