反套路钓鱼黑客

0.QQ群里发来⼀个腾讯文档，第一反应肯定是有猫腻的，故事就开始了了 :-)

1. 反击过程

看到⼆维码我们下意识的识别⼀下，二维码识别地址

https://cli.im/deqr，识别完后发现是⼀个URL：http://oujhu.xyz/Awagdahiwaw/Akadwudln1.php

钓⻥网站⽆无疑了了 :-)

二话不说直接XSS，⼀般的钓⻥网站都会存在⼀个通病就是XSS，那直接XSS一下，看看能否获取到管理员的Cookie

时间：2019-01-17 22:03:44

location:http://oujhu.xyz/Awagdahiwaw/admin/datalist.phptoplocation:http://oujhu.xyz/Awagdahiwaw/admin/datalist.phpcookie: SID=bcg41ot21ulpl05275q861vkj6

HTTP_REFERER: http://oujhu.xyz/Awagdahiwaw/admin/datalist.phpHTTP_USER_AGENT:

Mozilla/5.0 (Windows NT 6.1;WOW64)

AppleWebKit/537.36(KHTML,likeGecko)Chrome/63.0.3239.26 Safari/537.36Core/1.63.6821.400QQBrowser/10.3.3040.400

REMOTE_ADDR: 223.104.1.98

嗯，真香，然后就是拿着cookie直接去登录后台了 :-)

发现cookie⽆论如何都登录不上去 :-(

就这样算了吗？我开始想是不是后台对ip进⾏了判断，

那我就尝试过XFF、Client-ip伪造管理员的ip等，

虽然不知道后端如何写的，

之前抓cookie的时候我们也抓到了管理员ip，

REMOTE_ADDR : 223.104.1.98，

还是不⾏ :-(

我们直接来插“获取当前⻚⾯源码”，我在想直接⽤CSRF的方式给我添加一个管理员或者修改管理员密码，但是获取到的有⽤的URL就是这些：

./datalist.php

./setting.php?mod=site

./userinfo.php

./login.php?logout

试试未授权访问？嗯...不⾏

简单扫扫目录什么的，看看有什么发现，嗯…基本什么都没有:-(

嗯，反钓！对，就是反钓！运用“基础认证钓鱼”反钓！

嗯...最终还是失败了，没有钓到:-(

嗯...⼜来一个想法，通过Beef然后弹个shell？嗯…基本不可能了:-(

HTTP_USER_AGENT: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.26 Safari/537.36 Core/1.63.6821.400 QQBrowser/10.3.3040.400

2.最近看了一篇文章：http://www.4hou.com/web/15729.html，叫做：《钓⻥鱼新姿势：全屏API伪装浏览器界面方式分析》。

嗯…感觉⼜来了，反钓⻥！我们反钓⿊客管理员的账号密码！

我们先把这个钓⻥⽹站的后台扒⼀下：http://oujhu.xyz/Awagdahiwaw/admin/login.php，

难度不是很大，直接做成相同的管理员后台⻚面 :-)

然后我们利用页面跳转，让黑客管员误以为真正的页面失效 :-)

骚到没有朋友

跳转代码：

//这里是我们伪造的黑客管理后台页面地址，然后把XSS代码在插进去，然后⿊客管理员一看数据，嗯...

跳转到完全一样的后台登录⻚面，⿊客肯定以为失效了，

要重新输入账户密码，

那这个时候输入的账户密码就会到我们这⾥ :-)

插它！

Bingo！这个⿊客带着账户密码来找我了，嗯…现在节奏变了，不是他钓我账户密码，是我钓他 :-)

密码还算简单，但是⽤户名一般遇不到，其实有时候我们在获取页面源码的时候可以看到账户，这样其实也可以穷举密码 :-)

成功进入后台，看到不少的受害者

3.

到这⾥就结束了吗？

其实并没有，我们应该想如何把服务器的权限get到，但是由于后台功能过于简单…也是没有什么办法，找了⼀些能存在SQL注⼊的地方，但是也并没有能get到 :-)