网友发给我一个游戏钓鱼网站,我用python渗透了该网站所有信息
前言:
SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。这篇文章不是像评论区的某些大佬所想的那样是来炫技的,更多的是来给大家科普一些实用的渗透工具和方法,我相信不是所在的人都用过文中提到的这些方法。
很多人学习python,不知道从何学起。
很多人学习python,掌握了基本语法过后,不知道在哪里寻找案例上手。
很多已经做案例的人,却不知道如何去学习更加高深的知识。
那么针对这三类人,我给大家提供一个好的学习平台,免费领取视频教程,电子书籍,以及课程的源代码!
QQ群:1097524789
刚才在知乎上看到一篇文章《你的QQ号是这么被偷走的!》,但是文章只是简单提到了一个伪造的LOL站点,嗯,就是这个【uvu.cc/ixMJ】,这明显是一个经过缩短链接处理的网站,打开后跳转到这个真实网址
【http://mfspfgp.top】
页面是下面这样的:
点击登录弹出一个对话框,让输入QQ号和密码,随便输入了一个进去,居然都可以登录,看来是一个简单盗号的网站无疑咯。
我很好奇的是,现在人们的安全意识这么高,这么低级的盗号网站还能骗到人吗?
算了,不管了,习惯性打开浏览器的开发者工具,先来看看这个盗号的POST过程。找到了,POST到这个地址:
http://mfspfgp.top/lollove.php
参数只有两个:name和pass。
有了POST的链接和参数,就可以先来玩一下了,首先使用Python伪造浏览器头,生成随机的QQ号和密码,然后利用requests来循环POST垃圾数据到对方的服务器,毕竟主要目的是警示一下网站管理员,数据量就少点吧,10000差不多了,而且IP代理和多线程并发都懒得加了。
代码跑起来了,非常鼓励大家(尤其新手)采用类似手段给这个站点注入点垃圾信息,我估计钓鱼站长看到数据库中的这些垃圾数据,而且来自很多的IP地址,心理应该是崩溃的。
好了,就让它继续跑着吧,下面来看看能不能挖掘些其他的东西。
注:
这个钓鱼网站获取到的账号密码不一定就写入数据库,而且写入数据库后也不一定有页面进行显示出来,所以XSS的难度很大。
而且网站也有可能是通过发邮件或者写入文本等方式进行保存数据,现在邮箱系统更新补丁很快,感觉XSS也不好用。评论中有人说很轻松就可以XSS的,烦请告知具体的实现方法,非常感谢!
先PING一下这个域名(mfspfgp.top),得到服务器的IP地址(103.98.114.75)。
查了一下这个地址,是个香港的服务器,也难怪,这样不备案的域名也只敢挂在外面的服务器上了。
之后查了一下这个域名的whois信息,得到一个QQ邮箱和一个手机号,当然这两个联系方式也不一定是真的。
用QQ搜了一下这个QQ号,显示是一个江西吉安的少年,而且他的QQ空间是开放的,进去看了一下,也没有发现什么有价值的东西,只看出这个小兄弟喜欢玩英雄联盟和王者荣耀。
在搜索引擎上检索这个QQ号以及对应的QQ邮箱也没有找到任何有价值的信息,所以,上面这个QQ号的主人应该不是钓鱼网站的主人,很有可能是被这个网站盗号了。
在微信里搜索了一下这个手机号,显示地区是河南洛阳,而且他的微信头像应该是他本人了。但是我不能确定他就是网站的所有者,所以就不放他的照片了。
之后,利用邮箱反查工具,查了一下这个邮箱还注册了哪些网站,结果找出9个,发现其中有6个可以正常访问。
这6个可以访问的网址分别是:
http://fjkskda.top、http://jligyts.top、http://pfdqlql.top、http://yiqilin.top、http://zykjgkd.top、http://mfspfgp.top。
对应三种形式的诈骗网页,分别是刚才展示的【生日祝福】、【酷秀一夏】、【2017赛事正式开始】,后两个页面截图分别如下:
这三种页面的盗号方式全部一样,所以顺便将上面的程序对着其他的站点跑了一下,不用谢,我的名字叫雷锋~
之后,将上面提到的网址全部Ping了一下,获取了全部的IP地址,择其中物理位置最详细的那个IP来试试吧。
首先在WhatWeb里面检索一下这个IP地址,即可知道这个网站采用的是nginx1.8.1服务器,使用的是5.5.38版本的PHP。
然后用nmap扫了一下端口和运行的服务,发现开放的端口还是蛮多的。
PORTSTATESERVICE1/tcpopentcpmux3/tcpopencompressnet4/tcpopenunknown6/tcpopenunknown7/tcpopenecho9/tcpopendiscard...省略...61900/tcpopenunknown62078/tcpopeniphone-sync63331/tcpopenunknown64623/tcpopenunknown64680/tcpopenunknown65000/tcpopenunknown65129/tcpopenunknown65389/tcpopenunknown
(题外话:上面那个62078端口对应的iphone-sync服务感觉有点像苹果同步啥的~)
然后用w3af来检测网站的一些弱点,进而获取一些重要信息。但是不知道怎么回事,这次运行w3af出现了线程出错,导致没有顺利完成扫描,所幸的是,扫出来一个敏感链接:
http://103.27.176.227/OGeU3BGx.php。
用浏览器访问这个链接,显示的是一个错误页面,但是下面出现了一个关键信息:Poweredbywdcp
点击wdcp进入其官方页面,看到了如下重要信息,这个网站还贴心地给出了一个体验站点:
http://demo.wdlinux.cn
大家可以去试试。
这样就知道了上面那个钓鱼网站的后台地址了:
http://103.27.176.227:8080
另外,我刚才去那个体验站点试了试,发现在修改密码的时候,用户名一直是admin,修改不了,加上原来的登录页面没有验证码,估计可以尝试暴力破解。
用sqlmap扫了一下登录表单的注入点,发现并没有找到。
难道真的只有通过密码库来暴力破解了吗?还在思考中。。。
结束语:
使用DDOS等技术也许可以很轻松击垮这样的钓鱼站点,但是站长分分钟给你再造几十个出来,这样受害的人也许会更多。
所以本篇文章的目的就是给那些入门的人科普一下常见的渗透工具,这样当自己遇到类似情况的时候能有所帮助,只有让更多的知友认识到钓鱼网站的危险,学会利用上面的方法来保护自己的信息安全,这样才有意义,你们说呢?
