相信很多人都有遇到過這樣的經歷,無意中點到一些釣魚網站,然後就泄露了自身信息,造成了一定的損失,對於這樣的網站各位需警惕,千萬不要亂點擊來歷不明的網站。
今天我就來說說釣魚網站的事,做了一個實戰滲透的分析。
前言
早上看到某個羣消息,發來了一個釣魚網站,是lol一個活動的,可以,一年前抽皮膚也被這麼釣魚過,差點被盜號,這次直接幹他!域名都不僞裝一下,一看就知道是釣魚。
過程
1、先看一下網頁源碼,順便說一下,這個登錄框,只有登錄按鈕是有用的,其餘的如下圖,都是空鏈接,點了也沒反應的,紅色箭頭,是點擊登錄後,會請求的文件,很明顯,你輸入的賬號密碼就是通過請求這個文件,發送給對方服務端的。。
2、首先隨便輸入,點擊登陸,發現竟然提示我輸入正確賬號?我還不信你能從騰訊數據庫中驗證我輸入的內容了
3、嘗試把賬號寫長一點,密碼同樣,ok成功登錄,很明顯只是耍了個小聰明,判斷了用戶輸入內容前端js做了簡單判斷,然後就跳轉到了真正的lol官網頁面
找漏洞點
1、常規信息收集:目錄、ip端口信息、子域名信息、whois、等等
l 目錄
首先用dirsearch跑了一下目錄,發現/config、/img、/include、/js、/style等等目錄,訪問了一下,都基本403,先放放
l Ip和端口和其他信息
發現ip爲xxx.xxx.xx.xx,然後多地ping了下,發現並無cdn,whois也沒查出什麼,也沒有進行備案,已經猜到了,釣魚網站不可能還給你備個案,而且子域名也沒有。
l 用nmap掃了一下端口和主機信息,看到爲linux,並且開了80,5555,10010,9527端口,web方面先從80端口的http服務入手了。
l 剛纔看源碼的時候發現,登錄後會請求一個2017.php頁面,抓包看看有沒有什麼入口點吧,可以看到post有三個參數,並且登錄後是302跳轉,location重定向到真正的qq.com的子域名下,以達到欺騙效果
l 然後對有參數的地方進行注入判斷,post的三個參數都判斷過,沒啥結果,然後抓包在cookie,Referer,User-agent處加*用sqlmap跑了,也沒跑出什麼,陷入困境。。
l 然後逐個目錄訪問一個,都是403。。。然後我用的是火狐,嘗試添加一個XFF頭,能不能繞過限制,但是發現並不能。。。
l 然後我再回到2017.php的頁面再次判斷,這時請求的時候火狐設置了XFF頭,所以自動帶上了X-Forwarded-For: 127.0.0.1,因爲之前學習時,學到過xff頭、client-ip等等接收ip的herader頭都可能有注入,反正這時候也沒其他思路了,試試
找到注入點
l 然後在127.0.0.1後面加一個單引號,哎,有變化了,注意對比上一個請求包中的狀態碼,這次變成了200
l 然後將數據包複製到1.txt,給XFF頭加個*號,讓sqlmap往這裏注入
l python3 –r 1.txt –batch –level 5
可以看到成功判斷出注入,數據庫爲mysql,注入類型時布爾和時間盲注
l 接着跑庫名python3 -r 1.txt --batch --dbms=mysql --dbs
l 第三個庫是空的,第二個庫的表
python3 sqlmap.py -r 1.txt --batch --dbms=mysql -D sql_2xxx_com –tables
l Admin表,釣魚網站後臺賬號密碼到手了
後續我也沒做啥操作了,反正不管咋樣,輸入啥信息一定要確定是否是正規安全網站,少進一些不良信息網站,你離網絡安全就更進一步了。
,告訴大家你也在看