LOL钓鱼网站实战渗透

相信很多人都有遇到过这样的经历，无意中点到一些钓鱼网站，然后就泄露了自身信息，造成了一定的损失，对于这样的网站各位需警惕，千万不要乱点击来历不明的网站。

今天我就来说说钓鱼网站的事，做了一个实战渗透的分析。

前言

早上看到某个群消息，发来了一个钓鱼网站，是lol一个活动的，可以，一年前抽皮肤也被这么钓鱼过，差点被盗号，这次直接干他！域名都不伪装一下，一看就知道是钓鱼。

过程

1、先看一下网页源码，顺便说一下，这个登录框，只有登录按钮是有用的，其余的如下图，都是空链接，点了也没反应的，红色箭头，是点击登录后，会请求的文件，很明显，你输入的账号密码就是通过请求这个文件，发送给对方服务端的。。

2、首先随便输入，点击登陆，发现竟然提示我输入正确账号？我还不信你能从腾讯数据库中验证我输入的内容了

3、尝试把账号写长一点，密码同样，ok成功登录，很明显只是耍了个小聪明，判断了用户输入内容前端js做了简单判断，然后就跳转到了真正的lol官网页面

找漏洞点

1、常规信息收集：目录、ip端口信息、子域名信息、whois、等等

l 目录

首先用dirsearch跑了一下目录，发现/config、/img、/include、/js、/style等等目录，访问了一下，都基本403，先放放

l Ip和端口和其他信息

l 用nmap扫了一下端口和主机信息，看到为linux，并且开了80，5555，10010，9527端口，web方面先从80端口的http服务入手了。

l 刚才看源码的时候发现，登录后会请求一个2017.php页面，抓包看看有没有什么入口点吧，可以看到post有三个参数，并且登录后是302跳转，location重定向到真正的qq.com的子域名下，以达到欺骗效果

l 然后对有参数的地方进行注入判断，post的三个参数都判断过，没啥结果，然后抓包在cookie，Referer，User-agent处加*用sqlmap跑了，也没跑出什么，陷入困境。。

l 然后逐个目录访问一个，都是403。。。然后我用的是火狐，尝试添加一个XFF头，能不能绕过限制，但是发现并不能。。。

l 然后我再回到2017.php的页面再次判断，这时请求的时候火狐设置了XFF头，所以自动带上了X-Forwarded-For: 127.0.0.1，因为之前学习时，学到过xff头、client-ip等等接收ip的herader头都可能有注入，反正这时候也没其他思路了，试试

找到注入点

l 然后在127.0.0.1后面加一个单引号，哎，有变化了，注意对比上一个请求包中的状态码，这次变成了200

l 然后将数据包复制到1.txt，给XFF头加个*号，让sqlmap往这里注入

l python3 –r 1.txt –batch –level 5

可以看到成功判断出注入，数据库为mysql，注入类型时布尔和时间盲注

l 接着跑库名python3 -r 1.txt --batch --dbms=mysql --dbs

l 第三个库是空的，第二个库的表

python3 sqlmap.py -r 1.txt --batch --dbms=mysql -D sql_2xxx_com –tables

l Admin表，钓鱼网站后台账号密码到手了

后续我也没做啥操作了，反正不管咋样，输入啥信息一定要确定是否是正规安全网站，少进一些不良信息网站，你离网络安全就更进一步了。

点亮 ，告诉大家你也在看