近年来,随着信息技术的迅猛发展,网络已经成为我们生活不可或缺的一部分。网络在给我们带来方便快捷的同时,也成为诈骗犯罪的温床,不法分子利用网友的好奇心理,制作上线钓鱼网站诱骗消费者。钓鱼网站是不法分子尽心网络诈骗的主要手段之一。今天讲的就是一次对钓鱼渗透到社工的经历。
废话不多说,看图跑进来的请认真看,记好笔记。
目标站:
http://www.caoliu10240.com/1024大家并不陌生把 没错今天说的就是一个草榴的钓鱼网站,网站是假的,可收集你个人帐号和密码信息确实真的!
点击任何东西都要你注册 抱着激动的心情我们注册一个试试,然而注册完了需要你交钱成为vip才能给你看,或者还有一个办法就是要你推广到各个群 要有是个人通过你的邀请连接注册了那么你就能不用交钱成为会员,我相信大部分人都会选择丢到个大群让别人去注册吧,然而就算通过你的邀请连接注册了上百人上万人你也根本不会成为那传说中的SVIP。
然而这并没有什么卵用,他们的目的就是为了收集你的帐号密码,然后通过你发送的邀请连接收集跟多人个人账户密码,滚雪球一样,没有限制,也没有终点!
下面就是渗透环节 国际惯例随手试了一个“admin”目录找到了后台,看到了熟悉的界面,可以判断出该网站使用的是“良精南方CMS”。
直接利用越权漏洞添加一个管理员,然后我们进入后台看看:
通过尝试,可以发现这是一个“阉割版”后台。试了几种拿webshell的方法都没有成功,编辑器组件被删除,上传点被删除,网站配置没敢插入一句话木马,担心万一没有调试成功破坏了配置,那样下面的工作就没法继续了。
通过后台可以看到截止到昨天就有10000+用户的信息被收集,字段包含用户名、明文密码和邮箱。
既然搞不定webshell拿不到网站实际权限,那么我们就尝试一下能否搞定管理员。
通过域名whois信息查询到管理员的邮箱:
空间里面都是卖药的信息,不知道药是真是假:
不敢相信一个妹子会搭建黄色网站收集用户个人信息,那么我们继续社工:
通过百度搜索结果得知,他有经常活跃在糗事百科:
用户名为