無聊正玩着手機QQ空間,發現來了一條消息,就打開看了下。
看見有人@了我一下 標題挺吸引人的,呵呵...有點常識經驗的一看
就知道不是什么好事的,然后點開看了下
可以發現此號@了很多和這個號有聯系的QQ好友,估計我這位朋友的號被盜用了,才會發這些帶有釣魚網站的說說。
如果是無經驗的,沒有任何安全常識的朋友,還以為是真的,后果想必大家都知道。。
根據提示掃描二維碼......
掃描二維碼后,手機跳轉到這個頁面,提示要你登錄QQ!注意啦,這里是重點!手機跟電腦不一樣,不顯示網站地址,
這個登錄界面其實是假的!並不是QQ官方的登錄地址,這就是所謂網絡釣魚,障眼法而已,由於手機不顯示網站地址,
如果對那些沒有安全意識的朋友來說,就會以為真的,輸入真的QQ號和密碼登錄,后果就是你的QQ號密碼被黑客盜用。
下邊我們來一步一步分析....
先把這張二維碼圖片保存到電腦上,去解碼,解碼后可以看到一個如圖中一個地址,
可以看見這個地址並不是原始的網站地址,看上去像一個縮短后的網站地址。
在把這個縮短后的短網站還原成真實的網址,如上圖所示,這就是為什么我們手機掃描二維碼,
然后在接着----跳轉-----的原因。
用電腦打開真實的地址后可以看見和手機訪問的界面是一樣的,
先用Nmap掃一下收集一下信息,發現是linux的系統,80端口和8888開放的,80端口是用Nginx ,8888端口用的Apache
訪問了一下8888端口看了下
發現了一個登錄后台,然后去百度搜索了一下有過漏洞,但不是這個版本,
默認密碼什么的都試了 ,都不行,然后換路子
掃描網站目錄文件看看,,
發現有phpmyadmin admin lib 等等可疑目錄
嘗試登錄phpmyadmin ,各種弱口令常識無果,,發現版本是2.11.11.3,
嘗試百度搜索此版本漏洞,配合MSF漏洞什么的 失敗...
訪問lib目錄 看見了一堆文件,然后各種懷疑。。。。都是一些配置文件,根據名稱應該就是釣魚網站里邊的源碼文件,
然后在聯想到,,,swf的文件會不會是網馬,會不會是利用Hacking Team發布的flash漏洞編寫的,然后自己下載來后
嘗試反編譯,看能不能得到源碼,找出突破點,然而並沒有什么亂用....
然后訪問這個地址,應該就是釣魚網站的收信后台了把,還是嘗試各種弱口令什么的,爆破,
貌似像這種帶有驗證碼的什么用burp爆破啊,麻煩那位大大科普科普,
然后轉戰到前台釣魚界面查看源碼,想插XSS,技術太低無法繞過,前端源碼里各種javascript函數過濾,然后分析....也不知道分析的對不對,
在用審查元素改改什么的,失敗.......
最后...旁注,用Maltego收集信息社工,域名反查,社工褲,失敗.....沒法子咯,放棄日站.....
此次滲透就到這里了,文章沒什么亮點,見諒見諒,就到這吧,希望能幫到一些像我這樣的新手...