前言

本文的文字及图片来源于网络,仅供学习、交流使用,不具有任何商业用途,如有问题请及时联系我们以作处理。

PS:如有需要Python学习资料的小伙伴可以点击下方链接自行获取

Python免费学习资料、代码以及交流解答点击即可加入

刚才在知乎上看到一篇文章《你的QQ号是这么被偷走的!》,但是文章只是简单提到了一个伪造的 LOL 站点,嗯,就是这个【uvu.cc/ixMJ】,这明显是一个经过缩短链接处理的网站,打开后跳转到这个真实网址

【http://mfspfgp.top】

页面是下面这样的:

点击登录弹出一个对话框,让输入QQ号和密码,随便输入了一个进去,居然都可以登录,看来是一个简单盗号的网站无疑咯。

我很好奇的是,现在人们的安全意识这么高,这么低级的盗号网站还能骗到人吗?

算了,不管了,习惯性打开浏览器的开发者工具,先来看看这个盗号的 POST 过程。找到了,POST 到这个地址:

http://mfspfgp.top/lollove.php

参数只有两个:name 和 pass。

有了 POST 的链接和参数,就可以先来玩一下了,首先使用 Python 伪造浏览器头,生成随机的 QQ 号和密码,然后利用 requests 来循环 POST 垃圾数据到对方的服务器

毕竟主要目的是警示一下网站管理员,数据量就少点吧,10000差不多了,而且 IP 代理和多线程并发都懒得加了。

代码跑起来了,非常鼓励大家(尤其新手)采用类似手段给这个站点注入点垃圾信息,我估计钓鱼站长看到数据库中的这些垃圾数据,而且来自很多的 IP 地址,心理应该是崩溃的。

好了,就让它继续跑着吧,下面来看看能不能挖掘些其他的东西。
注:
这个钓鱼网站获取到的账号密码不一定就写入数据库,而且写入数据库后也不一定有页面进行显示出来,所以 XSS 的难度很大。

而且网站也有可能是通过发邮件或者写入文本等方式进行保存数据,现在邮箱系统更新补丁很快,感觉 XSS 也不好弄。

评论中有人说很轻松就可以 XSS 的,烦请告知具体的实现方法,非常感谢!

先 PING 一下这个域名(mfspfgp.top),得到服务器的 IP 地址(103.98.114.75)。

查了一下这个地址,是个香港的服务器,也难怪,这样不备案的域名也只敢挂在外面的服务器上了。

之后查了一下这个域名的 whois 信息,得到一个 QQ 邮箱和一个手机号,当然这两个联系方式也不一定是真的。

用 QQ 搜了一下这个 QQ 号,显示是一个江西吉安的少年,而且他的 QQ 空间是开放的,进去看了一下,也没有发现什么有价值的东西,只看出这个小兄弟喜欢玩英雄联盟和王者荣耀。

在搜索引擎上检索这个 QQ 号以及对应的 QQ 邮箱也没有找到任何有价值的信息,所以,上面这个 QQ 号的主人应该不是钓鱼网站的主人,很有可能是被这个网站盗号了。

在微信里搜索了一下这个手机号,显示地区是河南洛阳,而且他的微信头像应该是他本人了。但是我不能确定他就是网站的所有者,所以就不放他的照片了。

之后,利用邮箱反查工具,查了一下这个邮箱还注册了哪些网站,结果找出 9 个,发现其中有 6 个可以正常访问。

这 6 个可以访问的网址分别是:

http://fjkskda.top 、http://jligyts.top 、http://pfdqlql.top 、http://yiqilin.top 、http://zykjgkd.top 、http://mfspfgp.top

对应三种形式的诈骗网页,分别是刚才展示的【生日祝福】、【酷秀一夏】、【2017赛事正式开始】,后两个页面截图分别如下:

这三种页面的盗号方式全部一样,所以顺便将上面的程序对着其他的站点跑了一下,不用谢,我的名字叫雷锋~

之后,将上面提到的网址全部 Ping 了一下,获取了全部的 IP 地址,择其中物理位置最详细的那个 IP 来试试吧。

首先在 WhatWeb 里面检索一下这个 IP 地址,即可知道这个网站采用的是 nginx 1.8.1 服务器,使用的是 5.5.38 版本的 PHP。

然后用 nmap 扫了一下端口和运行的服务,发现开放的端口还是蛮多的。

PORT STATE SERVICE
1/tcp open tcpmux
3/tcp open compressnet
4/tcp open unknown
6/tcp open unknown
7/tcp open echo
9/tcp open discard
...省略...
61900/tcp open unknown
62078/tcp open iphone-sync
63331/tcp open unknown
64623/tcp open unknown
64680/tcp open unknown
65000/tcp open unknown
65129/tcp open unknown
65389/tcp open unknown

(题外话:上面那个 62078 端口对应的 iphone-sync 服务感觉有点像苹果同步啥的~)
然后用 w3af 来检测网站的一些弱点,进而获取一些重要信息。但是不知道怎么回事,这次运行 w3af 出现了线程出错,导致没有顺利完成扫描,所幸的是,扫出来一个敏感链接:

http://103.27.176.227/OGeU3BGx.php。

用浏览器访问这个链接,显示的是一个错误页面,但是下面出现了一个关键信息:Powered by wdcp

点击 wdcp 进入其官方页面,看到了如下重要信息,这个网站还贴心地给出了一个体验站点:

http://demo.wdlinux.cn

大家可以去试试。

这样就知道了上面那个钓鱼网站的后台地址了:

http://103.27.176.227:8080

另外,我刚才去那个体验站点试了试,发现在修改密码的时候,用户名一直是 admin,修改不了,加上原来的登录页面没有验证码,估计可以尝试暴力破解。

用 sqlmap 扫了一下登录表单的注入点,发现并没有找到。

难道真的只有通过密码库来暴力破解了吗?还在思考中。。。

结束语:

使用 DDOS 等技术也许可以很轻松击垮这样的钓鱼站点,但是站长分分钟给你再造几十个出来,这样受害的人也许会更多。

所以本篇文章的目的就是给那些入门的人科普一下常见的渗透工具,这样当自己遇到类似情况的时候能有所帮助,只有让更多的知友认识到钓鱼网站的危险,学会利用上面的方法来保护自己的信息安全,这样才有意义,你们说呢?

网上发现一个钓鱼网站,我用 Python 渗透了该网站所有信息相关推荐

  1. 发现一个舔狗神器,Python真的太厉害了,自动下载妹子视频...

    文章目录 序言 涉及知识点 环境介绍 案例实现步骤 案例流程 效果展示 序言 兄弟们,现在短视频主播好看的妹子太多了,有时候遇到自己喜欢的,虽然点了赞或者收藏了,但是万一主播把视频隐藏下架了呢? 所以 ...

  2. PyCrypto —— 一个极好的信息安全python库

    在网上发现一个极好的python库,用于信息安全的,叫 PyCrypto: https://www.dlitz.net/software/pycrypto/ 又找了windows的版本: http:/ ...

  3. 收藏一个好用的免费在线生成描字帖网站

    最近发现一个免费并且强大的描字帖在线生成网站,笔顺字帖.汉字字帖.拼音字帖.数字字帖.英文字帖.空格子字都可以免费生成:大小.颜色.字体.格子类型(田字格.米字格.口字格)都可以随心定制:字帖内容随心 ...

  4. python钓鱼网站_学习笔记6.0 Django入门创建一个钓鱼网站

    太久没写博客了,2020年上半年荒废了大部分时光.从现在开始改变吧,学习django开发的知识. 用了两天的时间,终于学会了如何用pycharm开发django,会自己写一个hello world.虽 ...

  5. 发现一个有意思的奇葩极客网站

    今天无意中上网,发现一个奇葩的有意思的网站:http://www.jikedaohang.com/index.html  从网站来看,网站的主题是Android的开发和应用为中心.但是还是发现了一些以 ...

  6. 发现一个宝藏!全网最全的Python算法仓库!

    学习编程.学习Python最好的方式就是练习,哪怕是新手,只要不断地敲代码输出,肯定会有神效. Python的练手项目很多,特别是Github上,建议不管新手.老司机都去看看. 这里推荐给大家一个Gi ...

  7. python如何播放视频_在网上看到一个视频!怎么下载下来啊?

    原标题:在网上看到一个视频!怎么下载下来啊? 大家早,我是云景,之前我给大家连续分享过三篇关于下载网页视频的技巧,但是有些同学觉得难!因为里面用到了Python的知识. 其实,我之前也分享过一个更加简 ...

  8. python怎么下载-在网上看到一个视频!怎么下载下来啊?

    原标题:在网上看到一个视频!怎么下载下来啊? 大家早,我是云景,之前我给大家连续分享过三篇关于下载网页视频的技巧,但是有些同学觉得难!因为里面用到了Python的知识. 其实,我之前也分享过一个更加简 ...

  9. 偶然发现一个学习python的好地方

    大家好,今天推荐一个我的在学习python路上结识的好朋友:才哥. 才哥是枚游戏运营,为了高效的处理游戏运营中的数据分析相关工作,自学python,致力于技术让工作更轻松. 才哥乐于分享,他将自己学习 ...

  10. 发现一个厉害的关于html ui的网站 http://amazeui.org以后可能会用机会用!

    发现一个厉害的关于html ui的网站  http://amazeui.org以后可能会用机会用! sso beautiful! 转载于:https://www.cnblogs.com/Small-L ...

最新文章

  1. jQuery中FormData的使用
  2. jenkins持续集成(一): 在Linux下的安装与配置
  3. C++在哪几种情况只能用intialization list 而不能用assignment?
  4. python学习笔记列表和元组(三)
  5. html5网站 500.19错误,WIN7操作系统创建IIS后浏览时提示HTTP500.19错误是怎么回事?如何解决?...
  6. OAuth 授权的工作原理是怎样的?
  7. nodejs实践录:ubuntu 16.04系统nodejs环境搭建
  8. MFC:VS拖拽多个文件到控件并获取路径
  9. GitHub 上排名前 100 的 Objective-C 项目简介
  10. 学习问题:图像内插-最近邻内插法
  11. Unity 抛物线,直线,Sine曲线等
  12. 光猫连接水星路由器显示服务器,水星mw300r路由器连接光猫的设置方法步骤
  13. 电容ESR表(一) 电容ESR表的特点、测量原理、电路分析
  14. 整个canvas玩一玩,做一个简单的水印相机小程序
  15. GParted图形化工具对Linux磁盘分区扩容
  16. pycharm 使用matplotlib 绘图时图片不能显示中文
  17. Linux Kernel Development读书笔记
  18. java 取年份后两位_java获取年份的后两位
  19. 基于RBF函数的点云孔洞修补
  20. 华平蝉联“视频会议十大卓越品牌”

热门文章

  1. jboss-remoting服务
  2. SAP Open SQL
  3. 用Python基础做的游戏角色管理系统
  4. spring中定时器cron表达式在线生成器
  5. 图书管理系统(Java实现,十个数据表,含源码、ER图,超详细报告解释,2020.7.11更新)...
  6. SAP 用户出口合集
  7. BAT文件中如何注释:
  8. Excel数据导入Oracle数据库
  9. ams1117 lm317 对比_LM317的使用
  10. JavaScript 中URL编码方式