差点被LOL网站“钓鱼”!还以为可以免费得到“英雄皮肤”

  • A+
所属分类:安全文章

恩,被钓鱼了,不是我吹牛,离中招就差那么几秒!!

本文关键字:钓鱼网站,kali

出自公众号:工程师江湖


一、前言

某日白天正在无聊中,结果小伙伴收到了一封邮件,那会真的炒鸡激动,刚打算为自己的英雄换点皮肤,然后就中奖了,真是美滋滋!

差点被LOL网站“钓鱼”!还以为可以免费得到“英雄皮肤”

差点被LOL网站“钓鱼”!还以为可以免费得到“英雄皮肤”

哎,等会!!


我想想我干什么了,为什么会有奖品?

空城计?

欲擒故纵?


我这颗半吊子的“安全心”,忽然爆发了。


所以有了下面的事情!


二、反击

打开链接,弹出下面这个网站,很逼真。

差点被LOL网站“钓鱼”!还以为可以免费得到“英雄皮肤”


本能的测试,先来“万能密码”。

登录框这猜想可能存在SQL注入,用burpsuite抓包。

差点被LOL网站“钓鱼”!还以为可以免费得到“英雄皮肤”

结果不管输入什么,都会被重定向到某联盟游戏的官方页面。。。

那就看看这个网站都开了哪些端口

Ping域名拿到网站ip

拿出nmap扫描一波

差点被LOL网站“钓鱼”!还以为可以免费得到“英雄皮肤”

尝试访问端口,没有发现可以利用的地方。。。。

。。。。。这里一度陷入沉思,喝口水冷静一下

用站长工具反查一下这个ip。

差点被LOL网站“钓鱼”!还以为可以免费得到“英雄皮肤”

存在另一个域名,收集起来

放进目录扫描器里看看有没有惊喜。

差点被LOL网站“钓鱼”!还以为可以免费得到“英雄皮肤”

双击打开页面查看,卧槽这不是后台页面嘛。

差点被LOL网站“钓鱼”!还以为可以免费得到“英雄皮肤”


尝试万能密码登录,提示非法注入。。

差点被LOL网站“钓鱼”!还以为可以免费得到“英雄皮肤”

再次构造注入语句尝试,竟然爆出绝对路径来,更确定了这里存在注入。

差点被LOL网站“钓鱼”!还以为可以免费得到“英雄皮肤”

用brupsuite 抓数据包,保存到.txt文件里

差点被LOL网站“钓鱼”!还以为可以免费得到“英雄皮肤”扔进sqlmap跑一下,爆红了。。。。


差点被LOL网站“钓鱼”!还以为可以免费得到“英雄皮肤”

加一些参数,再次尝试。

成功爆出数据看,惊喜若狂哈哈哈。

差点被LOL网站“钓鱼”!还以为可以免费得到“英雄皮肤”

紧接着,爆表。

差点被LOL网站“钓鱼”!还以为可以免费得到“英雄皮肤”

爆出字段。

差点被LOL网站“钓鱼”!还以为可以免费得到“英雄皮肤”

Dump数据拿去解密md5拿到明文密码

登录之

这个提示。。呵呵了,还仅提供Web编程模仿技术研究,社会工程师水平锻炼,网络防骗流程深入研究的一份程序。。。

差点被LOL网站“钓鱼”!还以为可以免费得到“英雄皮肤”


两万多条数据。


差点被LOL网站“钓鱼”!还以为可以免费得到“英雄皮肤”

本来想拿服务器权限的。

但是最终放弃了。。。。。

差点被LOL网站“钓鱼”!还以为可以免费得到“英雄皮肤”


————  e n d ————

行业交流,赶快入群

Blue469 拉你入微信群。

差点被LOL网站“钓鱼”!还以为可以免费得到“英雄皮肤”

觉得文章不错的,欢迎点在看转发,长按下图关注公众号 工程师江湖,收看更多精彩。


差点被LOL网站“钓鱼”!还以为可以免费得到“英雄皮肤”

今日问题:你觉得如何欢迎留言

差点被LOL网站“钓鱼”!还以为可以免费得到“英雄皮肤”

今日推荐阅读

差点被LOL网站“钓鱼”!还以为可以免费得到“英雄皮肤”

1、等保到底是个什么玩意(一):前序介绍

2、要搞服务器了,为什么有点慌啊,其实真的不怪我

3、这些网络安全设备,一句话给你解释清楚

4、故事会1:OSPF状态机那些事儿(入门)

5、故事会2:OSPF LSA那些事儿(入门)

6、本地渗透环境部署-DVWA

7、Telnet背后的故事

8、VRRP双主,真是要了我老命了

9、Linux安全配置规范

10、等保,测评,堡垒机,招聘,USG6000:今天溜了下群产生的想法

11、瑟瑟发抖的一次体验———360web渗透面试

........

本文始发于微信公众号(工程师江湖):差点被LOL网站“钓鱼”!还以为可以免费得到“英雄皮肤”

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: