用 QQ 搜了一下这个 QQ 号,显示是一个江西吉安的少年web渗透找什么网站练手,而且他的 QQ 空间是开放的,进去看了一下,也没有发现什么有价值的东西,只看出这个小兄弟喜欢玩英雄联盟和王者荣耀。
在搜索引擎上检索这个 QQ 号以及对应的 QQ 邮箱也没有找到任何有价值的信息,所以,上面这个 QQ 号的主人应该不是钓鱼网站的主人,很有可能是被这个网站盗号了。
在微信里搜索了一下这个手机号,显示地区是河南洛阳,而且他的微信头像应该是他本人了。但是我不能确定他就是网站的所有者,所以就不放他的照片了。
之后,利用邮箱反查工具,查了一下这个邮箱还注册了哪些网站,结果找出 9 个,发现其中有 6 个可以正常访问。
这 6 个可以访问的网址分别是:
http://fjkskda.top 、http://jligyts.top 、http://pfdqlql.top 、http://yiqilin.top 、http://zykjgkd.top 、http://mfspfgp.top 。
对应三种形式的诈骗网页,分别是刚才展示的【生日祝福】、【酷秀一夏】、【2017赛事正式开始】,后两个页面截图分别如下:
这三种页面的盗号方式全部一样,所以顺便将上面的程序对着其他的站点跑了一下,不用谢,我的名字叫雷锋~
之后,将上面提到的网址全部 Ping 了一下,获取了全部的 IP 地址,择其中物理位置最详细的那个 IP 来试试吧。
首先在 WhatWeb 里面检索一下这个 IP 地址,即可知道这个网站采用的是 nginx 1.8.1 服务器,使用的是 5.5.38 版本的 PHP。
然后用 nmap 扫了一下端口和运行的服务,发现开放的端口还是蛮多的。
PORT STATE SERVICE 1/tcp open tcpmux 3/tcp open compressnet 4/tcp open unknown 6/tcp open unknown 7/tcp open echo 9/tcp open discard ...省略... 61900/tcp open unknown 62078/tcp open iphone-sync 63331/tcp open unknown 64623/tcp open unknown 64680/tcp open unknown 65000/tcp open unknown 65129/tcp open unknown 65389/tcp open unknown
(题外话:上面那个 62078 端口对应的 iphone-sync 服务感觉有点像苹果同步啥的~)
然后用 w3af 来检测网站的一些弱点,进而获取一些重要信息。但是不知道怎么回事,这次运行 w3af 出现了线程出错,导致没有顺利完成扫描,所幸的是,扫出来一个敏感链接:
http://103.27.176.227/OGeU3BGx.php。
用浏览器访问这个链接,显示的是一个错误页面,但是下面出现了一个关键信息:Powered by wdcp
点击 wdcp 进入其官方页面,看到了如下重要信息,这个网站还贴心地给出了一个体验站点:
http://demo.wdlinux.cn
大家可以去试试。
这样就知道了上面那个钓鱼网站的后台地址了:
http://103.27.176.227:8080
另外,我刚才去那个体验站点试了试,发现在修改密码的时候,用户名一直是 admin,修改不了,加上原来的登录页面没有验证码,估计可以尝试暴力破解。
用 sqlmap 扫了一下登录表单的注入点web渗透找什么网站练手,发现并没有找到。
难道真的只有通过密码库来暴力破解了吗?还在思考中。。。
结束语:
使用 DDOS 等技术也许可以很轻松击垮这样的钓鱼站点,但是站长分分钟给你再造几十个出来,这样受害的人也许会更多。
版权声明
本文仅代表作者观点。
本文系作者授权发表,未经许可,不得转载。
发表评论