记一次渗透诈骗网站记录

0x00 Preface [前言/简介]

前段时间上班好好的在划水，突然表哥说收到一条短信，后发了一个URL给我，让我尝试一下搞。作为一个新时代青年，搞，必须搞。能不能进去是一回事，重要的是重在参与。

0x01 老规矩信息收集一波：

一顿操作猛如虎，发现收集的全部都日不进去。

作为全村的希望，重新回去浏览网页，看见有框。

想起半夜老师傅们教我们看到框最简单粗暴的办法——XSS盲插，见框插框。

运气好的一批，当天下午直接上线。

利用修改cookie进入后台，好家伙，一堆信息，账号密码、身份证银行卡什么都泄露了。

尝试getshell，发现无法写进去，一直报500的错，遂弃。

0x02 summary 总结

本篇文章没啥亮点，正规常规操作。

只是想提醒一下各位，遇到诈骗信息，千万千万不要信。

尤其是伪装成官方的，识别官方网站有一个最简单的办法，官方网站后缀是gov。

例如：真实的市场监管。网址是有gov的。

保护好自己的隐私，擦亮自己的眼睛。网上诈骗很难追回。遇到这些请三思。最好去官网看看是否真的有这回事。

0x03 other 其他 

如您有任何问题、建议、需求请后台留言NOVASEC公众号！团队初创，热烈希望现在以及未来的大佬们能够投稿支持！

本文始发于微信公众号（NOVASEC）：记一次渗透诈骗网站记录