钓鱼网站深入挖掘分析

有同志说看不太懂,那我就增加一點點細节吧

通过 记一次班级群的QQ钓鱼网站分析 分析


初步探测


获取了钓鱼网站的后台地址
后台1 http://fa9.hxzmdq.com/wocaonima/ 后台2 http://yun34.hxzmdq.com/wocaonima/

PING后得出ip:143.92.45.190 没有使用CDN

ip反查后得出域名:hxzmdq.com、zgzmw.net


深入挖掘


发现该钓鱼网站设计比较简陋,没有验证码,便进一步测试 (同志们有博客或者网站的话一定要加验证码,尽量不要使用普通的数字验证码,因为现在ai识别普通验证码是很容易的事情了已经,推荐使用相对安全的极验、谷歌等)


这里我们直接用浏览器按F12在NetWork栏目内观察我们输入密码的变化

可以发现POST请求到http://fa9.hxzmdq.com/wocaonima/login.php
请求内容是user=admin&pass=admin
也就是
POST地址:http://fa9.hxzmdq.com/wocaonima/login.php
POST内容:user=账号&pass=密码


使用burp工具配合字典合理爆破即可

使用burp工具配合弱口令尝试探测密码(这里burp工具不给出详细教程,有网站的同志一定要记得开启安全等级高一些的验证码)

用户名使用admin、admin888、user进行测试(后台常用用户名,有建站的同志尽量避免使用此类用户名)

密码使用弱口令字典(百度一搜一大把,没有什么技术含量)

经过burp爆破后得出结果

钓鱼网站后台地址 密码 http://fa9.hxzmdq.com/wocaonima/ qwer789789 http://yun34.hxzmdq.com/wocaonima/ qqfa@qq.com

登录成功后看了一下发现并没有很多的密码泄露,大概率是哪些个大佬已经删除过了


当然,我们继续又删了一遍

结束,


是不可能结束的

深入狐穴


根据@Time丨Brand   大佬已经贴出的资料,又对该钓鱼站进行挖掘,

发现一处数据库漏洞,根据宝塔面板Linux7.4.2以及Windows6.8版本phpmyAdmin未加签权最新漏洞进入钓鱼网站phpmyadmin(现在官方已经推送修复了,没更新的同志赶紧更新)

143.92.45.190:888/pma  (现在钓鱼骗子已经修复)


钓鱼数据库的内容真是让我岑目结舌,该服务器下还有很多钓鱼站,

发现非常多的同志输入密码,至于有多少呢,列在下方(已打马)


至于数量有多少,看右边滑动条即可

下列是钓鱼网站的数据库名

as7_hxzmdq_com
ba11_hxzmdq_com
bn34_hxzmdq_com
cc31_hxzmdq_com
ceshi_hxzmdq_com
db10_hxzmdq_com
de23_hxzmdq_com
dm14_hxzmdq_com
fa9_hxzmdq_com
gg111_hxzmdq_com
jdj_bqvknj_id
lao8_hxzmdq_com
ns19_hxzmdq_com
pi13_hxzmdq_com
pp21_hxzmdq_com
qa26_hxzmdq_com
spehk_zgzmw_net
sql_123ll_hxzmdq
sql_163_hxzmdq_c
te25_fa9_hxzmdq_
vip168_hxzmdq_co
as7_hxzmdq_com

发现最多的一个钓鱼站里面有500+数据,已经清零


以暴制暴


进入数据库后寻找了一番,并没有发现管理员的登录记录,所以只能清除它已经获取的数据,通过一两天的观察,它并没有关站,那我们给它塞一些垃圾数据好了
我们进入钓鱼界面

随便输入我们进行测试的号码以及密码,然后F12进入浏览器的NetWork栏目,点击登陆(真正的登录页面是“登录二字”),可以获取提交数据的地址http://fa9.hxzmdq.com/save.php 也是通过post提交

可以发现POST请求到http://fa9.hxzmdq.com/save.php
请求内容是u=1846546548&p=4564989794%2B&submit=
也就是

POST地址:http://fa9.hxzmdq.com/save.php
POST内容:u=账号&p=密码&submit=


然后我们进入工具,输入好参数,随便给这个鱼站刷点数据(工具我就不放出了)

结束


小科普
在这里呼吁大家不要随便点击Q群里面的不明链接,更不要随意输入密码,除此之外,更有多种多样的方式钓鱼情况在此举出几例:


例1:Q群内s情聊天软件(99.999999%为敲诈勒索软件,不给权限不让用,给完权限爆通讯录等等)
例2:伪装成同学在QQ空间发相册上面带二维码(大概率为钓鱼网站)
例3:班级群、学校群内挂出教务处成绩等诱导扫码输入qq密码(钓鱼盗号)
例4:伪装同学给你发链接配上让你帮助的文字(还是盗号,可能有的还会找你借钱,借钱之前一定要打电话确认!)
例5:邮件内的成绩、需要输入qq密码的文件等(钓鱼盗号)
例6:给你发一张二维码,说是让你帮忙辅助找回qq(实际是把你qq登录到骗子的电脑上)
例7:微信辅助(实际上是帮助违法犯罪人员解封被封禁的账号)
例8:qq、微信租号(利用你的qq实施诈骗等犯罪活动)

钓鱼盗号已经不新鲜了,但是还是有需多钓鱼盗号的骗局,希望大家能够记住 不点不明链接、不扫情况不明的二维码、不随意输入密码 手机号等隐私信息、借钱之前电话确认!
还有就是记得要给密码设置的复杂一些,时不时更换

THE END
喜欢就支持以下吧
点赞0
分享
评论 抢沙发
  • 管埋员

    昵称

  • 取消
    昵称