大数跨境
首页
>
记一次对诈骗站点的攻击
>
0
0

记一次对诈骗站点的攻击

记一次对诈骗站点的攻击 中科国昱ZKGY
2023-09-21
0
导读:记一次对诈骗站点的攻击!


这天正在考研复习,突然看到辅导员在群里发的防止诈骗邮件的消息,

    

有趣,仔细一看还有网址,这不撞枪口上了吗,启动!!!

先访问页面,

乍一看,这不微信主页吗,再看一眼域名,不对劲,这明显不是腾讯的域名,查一下域名备案确认一下,果然不是。


先看一下是否使用cdn,


发现并没有使用cdn,再查一下子域名,

居然一个子域名都没有,好好再扫一下目录,

通过访问这些目录得知有两个登录页面和一个robots.txt页面。




点击登录页面的忘记密码发现跳转到了真的腾讯页面,伪造的很全面。随便输入一个不存在的账号抓包进行分析。


居然没有对输入的账号是否是邮箱进行校验!



测试发现页面只是一个伪造的前端的页面并没有实际的登陆会一直在正在登陆中卡住。

通过测试发现该页面存在thinkphpsql注入漏洞。


直接使用sqlmap

发现已有不少人上当受骗,还暴漏了手机号和身份证号码。

【声明】内容源于网络
0
0
中科国昱ZKGY
提供网络安全服务,专注于网络空间安全和密码应用市场。
内容 20
粉丝 0
中科国昱ZKGY 提供网络安全服务,专注于网络空间安全和密码应用市场。
总阅读15
粉丝0
内容20