有学弟、学妹在群里发个腾讯文档的链接,然后过了一会儿学妹说别点,病毒!但是我好奇心就是有点重,想看看这是啥。后发现是一个短网址链接,打开后指向一个IP地址。
打开后为一个仿QQ邮箱登录的钓鱼页面,输入账号密码后会跳转到真正的QQ邮箱登录地址。
下意识对输入框插入xss payload,然后打开该网站首页,是某短网址生成平台,目录扫描无果。
尝试登录短网址管理平台:
注册用户并成功登录:
到网上搜索下载该短网址平台源码,部署到本地并进行审计,看能不能找到突破口;有很多SQL注入点,但是有360webscan的关键字检测。
找不到突破口就放着不想动了,放着吧……
过了两天,发现一个小惊喜,收到了xss饼干到账邮件:
cookie可能过时了,不过先上去看看:
发现不需要cookie,就可以查看数据:
好家伙,六百多条账号和密码用户信息。
通过路径扫描工具,发现后台地址为/up/tt/login.php:
打开后台页面:
使用弱口令进入后台:
进去就是一个资料管理页面,没有其他可以操作的。
算了,先告诉警察叔叔吧!
原文始发于微信公众号(SK安全实验室):记一次对钓鱼网站的渗透测试
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论