实战 | 钓鱼网站分析（主要是信息收集）

这是F12sec的第68篇原创

申明：本次测试只作为学习用处，请勿未授权进行渗透测试，切勿用于其它用途！ 十二师傅个人博客地址：https://colcool.com/

1.漏洞背景

首先页面是这样的，域名老大串了，估计是页面是内嵌的，并且是js站点。

好家伙直接内嵌gov站

那么就是浮窗有问题

好猜得没错 点进去

经典的钓鱼页面，尝试填入数据抓包

好家伙抓不到包，很神奇 那就来波信息收集

IP为: 176.113.68.213

微步查询了一下没什么任何信息 https://x.threatbook.cn/v5/ip/176.113.68.213

再用360试试 https://ti.360.cn/#/detailpage/searchresultquery=176.113.68.213

就一堆域名，作用不大，一看这鱼站就是老油条了

旁站查询: https://www.webscan.cc/ip_176.113.68.213/

没任何信息

Fofa:

收集到了两条信息，都是国际版宝塔的信息，没什么用 来试试目录扫描

也没什么

报错可以看出是tp框架

这框架其实有个rce的,由于不知道路由情况也用不了。分析了一下如果不发包鱼站是怎么提交数据的？那就从js找突破口,来点团队特色F12大法

Ws协议？websocket 获取到另一台服务器91.238.203.60:7890 直接访问试试

没错了 http://www.websocket-test.com/ 尝试连接 ws://91.238.203.60:7890/

连接上去了

猜对了用websocket传输数据 来试试提交数据看看

当然这些身份证信息都是假的 下一步

{"type":"checkData","data":"eyJlIjoiIiwibSI6IjE3Nzc3NTU1NDQ0IiwibiI6IuW8oOS4iSIsInAiOiIiLCJzIjoiNDQwMTA2MTk4MjAyMDIwNTU1IiwieSI6IiIsIm1pYW5qaSI6IiIsInN1b3phaWRpIjoiIiwiemliZW4iOiIiLCJ3YW5nemhhbiI6IiIsInJlbnNodSI6IiIsImYiOiLlronljZMiLCJpIjoiMTAzIn0="} 这串信息 Data是base64加密 解密试试

好没错了 我们试试连接服务器发送消息看看

Websocket渗透我不是很会，大佬们可以参考 https://www.cnblogs.com/pt007/p/11898835.html 可以尝试插xss或者sql注入，下面就留给大佬们吧