黑客对钓鱼网站的一次入侵

礼拜天在其他CTF群巧合见到这个诈骗网站：.com://gggggg.Cn （声明函：文中中出现的备案域名、iP均被更换，并不真实存在，不可检测），因此开始对该网站进行渗入。观察网页页面，推测这个网站应该是用于盗取QQ账户的。除了备案域名没有一点迷惑性，网页页面做的还好。

对某诈骗网站的一次渗透测试

如果用户不注意，点击了 立即申请撤销 ，就会跳出来一个登陆框。如果用户键入QQ账户密码，网站后台就会马上纪录到数据库查询中。

对某诈骗网站的一次渗透测试

先加 dirsearch 扫一下文件目录文档，并查看是否有可利用的功能点。

对某诈骗网站的一次渗透测试

同时通过网页页面源代码、网站提供的功能，找到如下几个插口：

对某诈骗网站的一次渗透测试

飞快，在登陆处就发现存在 SQL引入 了。直接扔进 sqlmap 跑，数据文件结构如下：

跑了一上午， sqlmap 可以鉴别出引入的类型，但是一直注出不来数据，猜想存在 WAF 干挠，之后发现是宝塔的 WAF 。因此开始半自动检测，只注出了当今用户、数据库查询版本号、当今数据库查询名、表名信息。

对某诈骗网站的一次渗透测试

利用基本的扫面方法也没发现网站后台具体位置，因此想获知该网站使用的 web 手机应用程序是否开源系统的，如果是网络上搜的到的，就弹出来证券方面。运气好的话，就可以直接通过证券方面拿shell了。 云悉web指纹识别 鉴别结果如下：

指纹识别Python/5.4.45，宝塔控制面板，Nginx，

语种

玻璃容器

系统软件

发现并没什么实用的信息，因此开始试着 google hack 。前边我们有发现一个 xxxxxx_login.Python 的插口，通过英语的语法： inurl:xxxxxx_login.Python 采集到大量相同的网站。

对某诈骗网站的一次渗透测试

经过检验，还能正常网络访问的网站地址如下，并继续对这些网站进行检测。

对某诈骗网站的一次渗透测试

最初的时候，有对目标 .com://gggggg.Cn 进行过灵敏数据泄露的检测，但是并没有发现实用的信息。之后一样对上面的这些网站进行检测，结果就发现了 git 泄漏的问题。但是会发现通过 git 泄漏还原成的编码不全，而在已还原成的编码中除了 SQL引入尚未发现其他系统漏洞。但是我们还是可以通过这个发现一些实用信息，例如在图为中，我的发现网站后台文件目录以及一个数据库备份文档。通过这个数据库备份文档，我们可以直接得到管理人的账户密码。

对某诈骗网站的一次渗透测试

网站后台登陆进来大概是这个樣子的，可以看文件大小还是不少的，别忘记这只是其中个网站的数据。

对某诈骗网站的一次渗透测试

在对网站功能测试几番后，尚未发现可写 shell 的地方。因此开始探寻其他系统漏洞。先通过 htpp://put-site-ip.Com 获得网站真实iP（同时通过其他方法证明该 iP 的确是目标 iP ）。

对某诈骗网站的一次渗透测试

之后对所查询网站的 iP 进行端口扫描，并对相对端口号进行工程爆破等检测。

对某诈骗网站的一次渗透测试

未果，遂完毕此次渗入。