登陆 注册

看我如何攻破钓鱼网站老巢并拿下服务器

hz6583 2019-12-06 安全文摘

收到钓鱼网站链接:

点击链接:

出现拦截链接,看来chrome属实牛逼,但是我们点继续访问

是一个仿的qq邮箱手机上的登录界面

审计一下页面(也可以抓包),可以发现,数据提交的链接:

访问这个链接:

发现主目录403

 因为以前日过一个钓鱼网站,那个钓鱼网站的有个管理界面在admin下,所以,这次也试试,访问admin目录,果然出现了登录界面。

审计源码没什么用,于是尝试登陆,首选sql注入万能密码,然而还真存在,直接admin登陆。Ahhh

接下来继续操作,经过测试发现这个平台有好多个子用户,推测应该是出售钓鱼链接给别人,以此获利,严重违反了法律。

目前中招的QQ号有6w+

平台的子用户有63个

由于在这个站点上没有找到上传点,可以利用的服务还剩ftp,由于对ftp不够了解,所以打算从其他方面入手,刚刚在审查用户的时候,我注意到了,每个链接都有对应的服务器。

其中有个地址比较吸引我。

尝试访问一下

宝塔面板的界面,于是访问888端口,发现无响应,orz,再用nmap扫一下,扫出了888端口有http,试着访问一下,发现了宝塔win的登录界面。

Sql注入,弱密码,初始密码试了一圈,都登不上去,这个时候想到了,刚刚的管理界面是admin登陆的,所以宝塔的会不会密码一致呢,本来打算盲注跑一下数据库呢,结果发现刚刚的用户管理界面有admin用户的信息。

于是拿着这个账户去登陆,成功登录,发现这个服务器上有好多钓鱼网站的链接,数据库。。。

这是捅了贼窝了。。。

最后通过惯用套路成功搞到服务器。

文由白帽子社区

已有1条评论
请关注微信公众号
微信二维码
不容错过
Powered By HeiBaiTeam.