网友发给我一个游戏钓鱼网站，我用python渗透了该网站全部信息

 

前言：

这篇文章不是像评论区的某些大佬所想的那样是来炫技的，更多的是来给你们科普一些实用的渗透工具和方法，我相信不是所在的人都用过文中提到的这些方法。

不少人学习python，不知道从何学起。
不少人学习python，掌握了基本语法事后，不知道在哪里寻找案例上手。
不少已经作案例的人，殊不知道如何去学习更加高深的知识。
那么针对这三类人，我给你们提供一个好的学习平台，免费领取视频教程，电子书籍，以及课程的源代码！
QQ群：1097524789

刚才在知乎上看到一篇文章《你的QQ号是这么被偷走的！》，可是文章只是简单提到了一个伪造的LOL站点，嗯，就是这个【uvu.cc/ixMJ】，这明显是一个通过缩短连接处理的网站，打开后跳转到这个真实网址

【http://mfspfgp.top】

页面是下面这样的：

 

点击登陆弹出一个对话框，让输入QQ号和密码，随便输入了一个进去，竟然均可以登陆，看来是一个简单盗号的网站无疑咯。

 

我很好奇的是，如今人们的安全意识这么高，这么低级的盗号网站还能骗到人吗？

算了，无论了，习惯性打开浏览器的开发者工具，先来看看这个盗号的POST过程。找到了，POST到这个地址：

http://mfspfgp.top/lollove.php

参数只有两个：name和pass。

 

有了POST的连接和参数，就能够先来玩一下了，首先使用Python伪造浏览器头，生成随机的QQ号和密码，而后利用requests来循环POST垃圾数据到对方的服务器，毕竟主要目的是警示一下网站管理员，数据量就少点吧，10000差很少了，并且IP代理和多线程并发都懒得加了。

 

代码跑起来了，很是鼓励你们（尤为新手）采用相似手段给这个站点注入点垃圾信息，我估计钓鱼站长看到数据库中的这些垃圾数据，并且来自不少的IP地址，心理应该是崩溃的。

 

好了，就让它继续跑着吧，下面来看看能不能挖掘些其余的东西。

注：

这个钓鱼网站获取到的帐号密码不必定就写入数据库，并且写入数据库后也不必定有页面进行显示出来，因此XSS的难度很大。

并且网站也有多是经过发邮件或者写入文本等方式进行保存数据，如今邮箱系统更新补丁很快，感受XSS也很差用。评论中有人说很轻松就能够XSS的，烦请告知具体的实现方法，很是感谢！

先PING一下这个域名（mfspfgp.top），获得服务器的IP地址（103.98.114.75）。

 

查了一下这个地址，是个香港的服务器，也难怪，这样不备案的域名也只敢挂在外面的服务器上了。

 

以后查了一下这个域名的whois信息，获得一个QQ邮箱和一个手机号，固然这两个联系方式也不必定是真的。

 

用QQ搜了一下这个QQ号，显示是一个江西吉安的少年，并且他的QQ空间是开放的，进去看了一下，也没有发现什么有价值的东西，只看出这个小兄弟喜欢玩英雄联盟和王者荣耀。

 

在搜索引擎上检索这个QQ号以及对应的QQ邮箱也没有找到任何有价值的信息，因此，上面这个QQ号的主人应该不是钓鱼网站的主人，颇有多是被这个网站盗号了。

在微信里搜索了一下这个手机号，显示地区是河南洛阳，并且他的微信头像应该是他本人了。可是我不能肯定他就是网站的全部者，因此就不放他的照片了。

 

以后，利用邮箱反查工具，查了一下这个邮箱还注册了哪些网站，结果找出9个，发现其中有6个能够正常访问。

 

这6个能够访问的网址分别是：

http://fjkskda.top、http://jligyts.top、http://pfdqlql.top、http://yiqilin.top、http://zykjgkd.top、http://mfspfgp.top。

对应三种形式的诈骗网页，分别是刚才展现的【生日祝福】、【酷秀一夏】、【2017赛事正式开始】，后两个页面截图分别以下：

 

 

这三种页面的盗号方式所有同样，因此顺便将上面的程序对着其余的站点跑了一下，不用谢，个人名字叫雷锋~

以后，将上面提到的网址所有Ping了一下，获取了所有的IP地址，择其中物理位置最详细的那个IP来试试吧。

 

首先在WhatWeb里面检索一下这个IP地址，便可知道这个网站采用的是nginx1.8.1服务器，使用的是5.5.38版本的PHP。

 

而后用nmap扫了一下端口和运行的服务，发现开放的端口仍是蛮多的。

 

PORTSTATESERVICE1/tcpopentcpmux3/tcpopencompressnet4/tcpopenunknown6/tcpopenunknown7/tcpopenecho9/tcpopendiscard...省略...61900/tcpopenunknown62078/tcpopeniphone-sync63331/tcpopenunknown64623/tcpopenunknown64680/tcpopenunknown65000/tcpopenunknown65129/tcpopenunknown65389/tcpopenunknown

（题外话：上面那个62078端口对应的iphone-sync服务感受有点像苹果同步啥的~）

而后用w3af来检测网站的一些弱点，进而获取一些重要信息。可是不知道怎么回事，此次运行w3af出现了线程出错，致使没有顺利完成扫描，所幸的是，扫出来一个敏感连接：

http://103.27.176.227/OGeU3BGx.php。

 

用浏览器访问这个连接，显示的是一个错误页面，可是下面出现了一个关键信息：Poweredbywdcp

 

点击wdcp进入其官方页面，看到了以下重要信息，这个网站还贴心地给出了一个体验站点：

http://demo.wdlinux.cn

你们能够去试试。

 

这样就知道了上面那个钓鱼网站的后台地址了：

http://103.27.176.227:8080

 

另外，我刚才去那个体验站点试了试，发如今修改密码的时候，用户名一直是admin，修改不了，加上原来的登陆页面没有验证码，估计能够尝试暴力破解。

 

用sqlmap扫了一下登陆表单的注入点，发现并无找到。

 

难道真的只有经过密码库来暴力破解了吗？还在思考中。。。

结束语：

使用DDOS等技术也许能够很轻松击垮这样的钓鱼站点，可是站长分分钟给你再造几十个出来，这样受害的人也许会更多。

因此本篇文章的目的就是给那些入门的人科普一下常见的渗透工具，这样当本身遇到相似状况的时候能有所帮助，只有让更多的知友认识到钓鱼网站的危险，学会利用上面的方法来保护本身的信息安全，这样才有意义，大家说呢？