记一次对钓鱼网站的渗透测试
打开后为一
有学弟、学妹在群里发个腾讯文档的链接网站群安全,然后过了一会儿学妹说别点,病毒!但是我好奇心就是有点重,想看看这是啥。后发现是一个短网址链接,打开后指向一个IP地址。 打开后为一个仿QQ邮箱登录的钓鱼页面,输入账号密码后会跳转到真正的QQ邮箱登录地址。 下意识对输入框插入xss payload,然后打开该网站首页,是某短网址生成平台,目录扫描无果。 尝试登录短网址管理平台: 注册用户并成功登录: 到网上搜索下载该短网址平台源码,部署到本地并进行审计,看能不能找到突破口;有很多SQL注入点,但是有360webscan的关键字检测。 找不到突破口就放着不想动了,放着吧…… 过了两天,发现一个小惊喜,收到了xss饼干到账邮件: cookie可能过时了,不过先上去看看: 发现不需要cookie,就可以查看数据: 好家伙,六百多条账号和密码用户信息。 通过路径扫描工具,发现后台地址为/up/tt/login.php: 打开后台页面: 使用弱口令进入后台: 进去就是一个资料管理页面,没有其他可以操作的。 算了,先告诉警察叔叔吧! 原文始发于微信公众号(SK安全实验室):记一次对钓鱼网站的渗透测试 (编辑:财气旺网 - 财气网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |