实战 | 一次报错页面搞定zfb钓鱼网站

admin 2024年7月26日14:11:31评论19 views字数 1152阅读3分50秒阅读模式

起因

事情是这样的,站长正在无聊的hw看waf中,然后收到一份评论邮件,如下图:

实战 | 一次报错页面搞定zfb钓鱼网站

当时看到的时候也没在意,然后这个人就加了我的群,在群里说明了一下,说这个骗了挺多人了,然后就发出了目标的网址,我就抱着无聊的心态随手打开看了下实战 | 一次报错页面搞定zfb钓鱼网站,就开始了测试==

开始

1.随手打开目标站点,界面还做的挺逼真的,如下:

实战 | 一次报错页面搞定zfb钓鱼网站

随手就开始基础的渗透测试流程~什么信息收集,目录扫描等等就不放出来了,反正基本啥东西都没搞到~

2.随手打开burp,尝试抓取登录的包,然后发现后端是python实战 | 一次报错页面搞定zfb钓鱼网站(基本很少遇到)写的~

实战 | 一次报错页面搞定zfb钓鱼网站

温馨提示

既然是个钓鱼页面,肯定是收集信息的网站,所以一般我们都会尝试xss盲打,这里打了一下,但是没成功实战 | 一次报错页面搞定zfb钓鱼网站

3.接着继续测试,然后出现了一个突破口,一个报错页面,应该是后端不允许发送空值,然后就异常报错了,而且django的debug没有关闭实战 | 一次报错页面搞定zfb钓鱼网站

实战 | 一次报错页面搞定zfb钓鱼网站

(这里我们没有传值过去,所以是空值,导致后端异常抛出)

实战 | 一次报错页面搞定zfb钓鱼网站

4.接下来开始查找报错页面上有用的信息,发现了一堆东西,如下:

实战 | 一次报错页面搞定zfb钓鱼网站

(使用者:admin)

实战 | 一次报错页面搞定zfb钓鱼网站

(疑似管理员的连接服务器ip实战 | 一次报错页面搞定zfb钓鱼网站

实战 | 一次报错页面搞定zfb钓鱼网站

(mysql的相关信息~实战 | 一次报错页面搞定zfb钓鱼网站

实战 | 一次报错页面搞定zfb钓鱼网站

(python版本,以及一个github的项目xxx-master(应该是管理员直接clone下来的项目))

实战 | 一次报错页面搞定zfb钓鱼网站

实战 | 一次报错页面搞定zfb钓鱼网站

然后在作者的源码里发现了一个邮箱,但是没有继续深入~

实战 | 一次报错页面搞定zfb钓鱼网站

(发现后台项目:xadmin)

后台

1.之前通过报错页面找到了一个xadmin项目,项目地址:https://sshwsfc.github.io/xadmin/

随手在目标站点加个xadmin目录,成功找到后台。

 实战 | 一次报错页面搞定zfb钓鱼网站

2.没有验证码?那这不爆破走一走???实战 | 一次报错页面搞定zfb钓鱼网站,用户名根据xadmin的github项目说明可以知道默认用户是admin,密码直接上我的top1w

实战 | 一次报错页面搞定zfb钓鱼网站

3.成功搞出密码,运气日站?实战 | 一次报错页面搞定zfb钓鱼网站,弱口令永远滴神!

实战 | 一次报错页面搞定zfb钓鱼网站

第一次进入的时候后台数据挺多的,各种信息都比较全,但是后面管理好像会定期清理数据。。

后记

总结一下,就是运气日站,弱口令永远滴神!!后台的功能太少了!django+xadmin写的项目,和朋友研究了一晚上,好像根本没有办法getshell,太难了!然后貌似这个还是一个有授权到期时间的站点?不仅有zfb钓鱼页面,还有jd等~应该是个团伙作案,还有个小号QQ,每天也会经常修改get的访问请求参数,然后就没有继续深入了。

实战 | 一次报错页面搞定zfb钓鱼网站

实战 | 一次报错页面搞定zfb钓鱼网站

最后说一件有趣的事情,那个让帮忙的人说我可以去他的店铺随便选衣服,然后我看了一下,他的店铺是卖童装的实战 | 一次报错页面搞定zfb钓鱼网站。。。

实战 | 一次报错页面搞定zfb钓鱼网站

实战 | 一次报错页面搞定zfb钓鱼网站

作者:TRY原文地址:https://www.nctry.com/2119.html

声明:本公众号所分享内容仅用于网安爱好者之间的技术讨论,禁止用于违法途径,所有渗透都需获取授权否则需自行承担,本公众号及原作者不承担相应的后果.

如有侵权,请联系删除

原文始发于微信公众号(橘猫学安全):实战 | 一次报错页面搞定zfb钓鱼网站

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月26日14:11:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战 | 一次报错页面搞定zfb钓鱼网站https://cn-sec.com/archives/3000234.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息