王者荣耀“钓鱼”事件---不是程序猿，绝对看不懂的

这几天闲来无聊，于是打开手机，首先放上一首吴亦凡的《Lullaby (Live)》，然后打开王者荣耀就开始撸了起来~

撸了三盘，两跪，一赢。

"······我靠，猪队友，我荆轲无敌的存在啊，居然还是被坑输了"

（这里说明下，并不是我真的很厉害，而是在这5个人中，我确实是最厉害的一个存在，三盘，每盘都有挂机的，( ╯□╰ )）

就在这时候，看到聊天的界面有这样一条消息：

打开正文

聪明如我，一看就知道是钓鱼网站，我日，这小伙子算是倒霉了，碰到了正在气头上的我！

那么一言不合就开日吧，解解心头只恨！

WHOIS查询 ：

没任何有价值的信息。

也做了份目录踩点没发现什么特殊的，那么直接开始黑盒测试吧，首先是网站有 QQ 登陆的：

简单看了下前端的验证：

JS代码：

只要表单中的账号和密码不为 0 就返回 true 顺利提交到服务器上。

那么提交 XSS 进去看看：

过了大概三四个小时，邮箱来了邮件说收到了 Cookie，进平台终于 Cookie 来了~说明了这里完全是可以 XSS 盲打后台 Cookie 的：

不知道为什么 Cookie 用不了，也进不了后台，后来利用自己的域名字典组合扫到一个 zip

压缩出来发现是有源代码，但是数据库却损坏了~，于是仔细的看了下后台是可以越权的：

如上代码，只要名为 admin 的 Cookie 值不为空则继续执行：

这里我很无语的是，为什么我打的 Cookie 没有 admin，只有

ESJXJVHPULSFUPJCEQPU=NHHRSOSMFXBTAKIDJIPOEDAPVZTMMAXFZLJZEMXH 很是无奈，直接 Burp 抓了包然后修改了下 Cookie：

进去了

看了下一共有快1W的王者荣耀er的数据被钓鱼，正义的我不会拿去卖钱，当然是全部删除：

我仿佛听到有人在背后说我帅

另外，在这里叮嘱大家一定不要上这些当！！谨慎！！

友情提示：和女朋友一起打王者农药的时候，一定要控制好，调整好，平衡好你们之间的关系状态。

本文转自知乎 链接：https://zhuanlan.zhihu.com/p/26194503