引言

  • 前些日子,一位大学老师的QQ被盗了,导致群发教育网站的链接,其中竟然还有一位同学中招!看来大家对钓鱼网站还不够警惕,就借这次机会,给大家展示一下钓鱼网站是怎么骗人的。撰写本文的想法也是源于郭燕老师的委托,再次向这位负责的老师表达一下敬佩之意。

场景回顾

  • 首先,需要有一个被盗者的QQ向你发送一个钓鱼网站的链接,出于保护老师的个人隐私,我就不截图了,反正呢,就是收到这么一个链接。
http://bhhds.cn/user/7a3bb4700cfddef19fa23f.php?t=1&d=174&e=147&hc=bofnuf

  • 注意:该链接就是真实的钓鱼网站链接,切忌不要输入在这个网站中输入真实的QQ密码

  • 我们来看看这个页面:

  • 乍一看还挺像这么回事儿的,连二维码都有(当然,是无效的二维码)。其实明眼人一看这个页面,也就大致知道钓鱼的流程了,就是诱骗使用者在两个文本框中输入QQ号和密码,然后,密码就被发送至某个地方去了,当然,账号也就被泄露了。
  • 下面就开始一层一层拨开这个网站的真实面纱了。按照正常思维,右键-查看源代码,结果发现现实的是一堆乱码,细看之后发现,这个网页的所有代码都是用过base64编码过的,到本地以后再用过base64解码还原成html格式。不过我们可以通过浏览器调试工具查看代码,因为调试工具里面的代码都是已经经过解码后得到的,因此就绕过了base64的解码模块。至于用base64编码的目的,应该是为了隐藏网站的真实代码,以便躲过一些自动化的监管,比如腾讯QQ的安全提醒。
  • 首先,打开chrome的开发者工具(Firebug也是类似的),然后通过代码定位,一层一层地定位到文本输入框。如下图所示:

  • 真是要感叹一下网站制作这的用心良苦,所有页面中的标签的class都是哈希值,并不能目测看出其含义,不过这并不能阻挡继续打破砂锅问到底的节奏!可以看到,QQ号码文本框的name以w8结尾,而QQ密码的文本框的name以2R结尾,而name=all_window的div沉底显示一个图片,这就是我们看到的网页背景了。整个网页的元素非常简单,就是一副背景图片+两个文本框+一个submit按钮。
  • 这个网站的js文件也是通过base64编码的,所以直接用chrome查看一样是乱码。不过可以通过网站本身提供的base64解码程序进行解码,最后也能得到真实的js代码,这里就不赘述了。
  • 下面来模拟一下,钓鱼网站钓鱼的过程,先打开chrome自带的抓包功能,然后在QQ号文本框和QQ密码文本框中分别输入指定的信息,然后点击submit按钮。如图所示:


  • 可以看到,页面跳转以后,自然收到很多数据包,不过仔细看就能发现,前几个报文包非常可疑,于是就打开来仔细看看!果然,在其中一个发给index.php的post请求中,携带了两个表单信息,一个是以w8结尾的,另一个是2R结尾的,是不是很熟悉!对,那就是我们刚才输入的QQ号和密码。

  • 到这儿,问题已经分析的很透彻了,就是一个只有一个背景图片和两个文本框的钓鱼网站盗走了我们的QQ号,所以大家以后还是要对这种上来就要求输入密码的多家警惕。

手把手教你肢解钓鱼网站相关推荐

  1. 保姆级教程:手把手教你搭建个人网站

    保姆级教程:手把手教你搭建个人网站 前言 准备与搭建 1.Git管理工具的下载与安装 2.nodejs环境安装 3.hexo博客框架下载 npm换国内源 使用npm下载hexo博客框架 初始化mybl ...

  2. 《从零构建前后分离的web项目》:前端完善 - 手把手教你快速构建网站布局

    添砖加瓦 - 手把手教你快速构建网站布局 项目地址 本章源码地址 文章地址 本文为方便讲述重构去除了 Element.vux 库,用了最近比较火的 bulma 轻量.快捷.易读. 项目截屏 Layou ...

  3. 怎么制作网站?手把手教你10个网站建设的步骤!

    怎么制作网站?手把手教你10个网站建设的步骤!网站建设需要进行10个步骤,首先要确定网站建设的目标,考虑用户.品牌信息和竞争对手等,避免方向错误.其次,绘制网站建设地图和原型,确定位置大小.逻辑关系. ...

  4. 阿里云——手把手教你搭建个人网站

    言归正传,阿里算是做云服务最早的一批了,当时的其他几家有名气的现在基本都死了,只有阿里这支部队熬过来了,就我了解的几家云商做个简单的介绍: 青云:有情怀有理想,不过短板也很明显,目前看情况是专注私有云 ...

  5. 阿里云——手把手教你搭建个人网站(上云良心品,细致到想哭)

    时间过得真快,备案快要通过下来了,自己也马上要成为一个真正的站长了,今天就来说一下我如何使用"云平台方案调研/技术选型"."云上建站/开发过程"."架 ...

  6. fiddler如何设置过滤https_手把手教你如何给网站设置https

    我也是小白一枚,最近开了一个博客站点,个人博客除了微信分享功能不能开通外,其他的功能我都要试着做一下,磨练磨练自己.跟一些大佬分享有所不同,我这篇文章是以一个小白的角度来写,这样有一个优势,因为有些大 ...

  7. 手把手教你设计交友网站【3】

    2019独角兽企业重金招聘Python工程师标准>>> 场景分解 打怪.抢装备.升级,似乎用游戏的话语更好的形容场景任务这个词了.不管面向什么产品,百理相通,按马克思主义哲学的话说, ...

  8. 建站百科|手把手教你如何申请网站空间

    这是[建站百科]专栏第3篇原创内容,由我在建站行业从业10年.给上万公司搭建过网站的经验总结而来. 网站空间就像房屋的地基,对网站运营的影响非常大.在网站还没有发布之前,首先需要考虑存放的空间.选择一 ...

  9. 手把手教你python--爬取网站首页(学生必看)

    安装requests模块 在pycharm中安装requests模块 pytharm -> 文件 -> 设置 -> 项目:"项目名" -> Project ...

最新文章

  1. 使用ASP.NET Atlas编写显示真实进度的ProgressBar(进度条)控件
  2. mysql-connector-java.jar乱码_jdbc连接数据库,中文出现乱码的问题
  3. React中路由组件与一般组件
  4. Spring Boot 集成 Memcached
  5. 所有的胜利,与征服自己的胜利比起来,都是微不足道。
  6. 如何设置IntelliJ IDEA智能感知支持Jsp内置对象
  7. 神经进化算法——利用NEAT算法解决迷宫导航问题(基于NEAT-Python)
  8. 使用易宝支付接口实现java网上支付功能。
  9. matlab10的阶层怎么输入,matlab阶乘和程序
  10. 网络编程在线英英词典之历史查询模块(六)
  11. 计算机毕业设计springbootiMeli在线彩妆店铺
  12. 管理是一门艺术,好坏全在细微之间
  13. matlab输入数据作方程,用MATLAB函数编写并求解微分方程
  14. 多元函数微分学小结(2):从反函数定理到隐函数存在定理
  15. linux安装桌面xmanager,Linux安装图形界面和Vnc与Xmanager服务
  16. ROS2极简总结-文件系统
  17. 【个人喜好诗词之一】再别康桥
  18. 个人文件转移工具 v1.9.0.2107 系统目录迁移工具
  19. error @typescript-eslint/eslint-plugin@5.3.0: The engine “node“ is incompatible with this module.
  20. 快速查询PE文件知识点和PE文件解析(下)

热门文章

  1. The Pilots Brothers‘ Refrigerator(高效贪心)
  2. 阅读Android源代码
  3. 记录kettle spoon.bat 无法启动 (系统找不到指定的路径。) 只有无限接近死亡 才能领悟真滴
  4. Android通过反射获取手机是否有NavigationBar方法
  5. 电视剧《玉楼春》杀青,演员阵容曝光:影视剪辑月入3万必看指南【覃小龙课堂】
  6. 输入两个自然数min,max,计算、输出[min,max]中的超级素数的个数#C语言
  7. 云笔记是干什么用的,看云笔记的优点和使用心得分享
  8. 假设检验-U检验、T检验、卡方检验、F检验
  9. AI教父Hinton差点成为中国打工人...
  10. Laravel自定义artisan命令在Sell中运行