恩,被钓鱼了,不是我吹牛,离中招就差那么几秒!!
本文关键字:钓鱼网站,kali
出自公众号:工程师江湖
某日白天正在无聊中,结果小伙伴收到了一封邮件,那会真的炒鸡激动,刚打算为自己的英雄换点皮肤,然后就中奖了,真是美滋滋!
哎,等会!!
我想想我干什么了,为什么会有奖品?
空城计?
欲擒故纵?
我这颗半吊子的“安全心”,忽然爆发了。
所以有了下面的事情!
打开链接,弹出下面这个网站,很逼真。
本能的测试,先来“万能密码”。
登录框这猜想可能存在SQL注入,用burpsuite抓包。
结果不管输入什么,都会被重定向到某联盟游戏的官方页面。。。
那就看看这个网站都开了哪些端口
Ping域名拿到网站ip
拿出nmap扫描一波
尝试访问端口,没有发现可以利用的地方。。。。
。。。。。这里一度陷入沉思,喝口水冷静一下
用站长工具反查一下这个ip。
存在另一个域名,收集起来
放进目录扫描器里看看有没有惊喜。
双击打开页面查看,卧槽这不是后台页面嘛。
尝试万能密码登录,提示非法注入。。
再次构造注入语句尝试,竟然爆出绝对路径来,更确定了这里存在注入。
用brupsuite 抓数据包,保存到.txt文件里。
扔进sqlmap跑一下,爆红了。。。。
加一些参数,再次尝试。
成功爆出数据看,惊喜若狂哈哈哈。
紧接着,爆表。
爆出字段。
Dump数据拿去解密md5拿到明文密码
登录之
这个提示。。呵呵了,还仅提供Web编程模仿技术研究,社会工程师水平锻炼,网络防骗流程深入研究的一份程序。。。
两万多条数据。
本来想拿服务器权限的。
但是最终放弃了。。。。。
———— e n d ————
行业交流,赶快入群。
Blue469 拉你入微信群。
觉得文章不错的,欢迎点在看和转发,长按下图关注公众号 工程师江湖,收看更多精彩。
今日问题:你觉得如何?欢迎留言
今日推荐阅读
10、等保,测评,堡垒机,招聘,USG6000:今天溜了下群产生的想法
........
本文始发于微信公众号(工程师江湖):差点被LOL网站“钓鱼”!还以为可以免费得到“英雄皮肤”
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论