無聊正玩着手機QQ空間,發現來了一條消息,就打開看了下。javascript
看見有人@了我一下 標題挺吸引人的,呵呵...有點常識經驗的一看php
就知道不是什麼好事的,而後點開看了下前端
能夠發現此號@了不少和這個號有聯繫的QQ好友,估計我這位朋友的號被盜用了,纔會發這些帶有釣魚網站的說說。java
若是是無經驗的,沒有任何安全常識的朋友,還覺得是真的,後果想必你們都知道。。linux
根據提示掃描二維碼......安全
掃描二維碼後,手機跳轉到這個頁面,提示要你登陸QQ!注意啦,這裏是重點!手機跟電腦不同,不顯示網站地址,網絡
這個登陸界面實際上是假的!並非QQ官方的登陸地址,這就是所謂網絡釣魚,障眼法而已,因爲手機不顯示網站地址,函數
若是對那些沒有安全意識的朋友來講,就會覺得真的,輸入真的QQ號和密碼登陸,後果就是你的QQ號密碼被黑客盜用。網站
下邊咱們來一步一步分析....spa
先把這張二維碼圖片保存到電腦上,去解碼,解碼後能夠看到一個如圖中一個地址,
能夠看見這個地址並非原始的網站地址,看上去像一個縮短後的網站地址。
在把這個縮短後的短網站還原成真實的網址,如上圖所示,這就是爲何咱們手機掃描二維碼,
而後在接着----跳轉-----的緣由。
用電腦打開真實的地址後能夠看見和手機訪問的界面是同樣的,
先用Nmap掃一下收集一下信息,發現是linux的系統,80端口和8888開放的,80端口是用Nginx ,8888端口用的Apache
訪問了一下8888端口看了下
發現了一個登陸後臺,而後去百度搜索了一下有過漏洞,但不是這個版本,
默認密碼什麼的都試了 ,都不行,而後換路子
掃描網站目錄文件看看,,
發現有phpmyadmin admin lib 等等可疑目錄
嘗試登陸phpmyadmin ,各類弱口令常識無果,,發現版本是2.11.11.3,
嘗試百度搜索此版本漏洞,配合MSF漏洞什麼的 失敗...
訪問lib目錄 看見了一堆文件,而後各類懷疑。。。。都是一些配置文件,根據名稱應該就是釣魚網站裏邊的源碼文件,
而後在聯想到,,,swf的文件會不會是網馬,會不會是利用Hacking Team發佈的flash漏洞編寫的,而後本身下載來後
嘗試反編譯,看能不能獲得源碼,找出突破點,然而並無什麼亂用....
而後訪問這個地址,應該就是釣魚網站的收信後臺了把,仍是嘗試各類弱口令什麼的,爆破,
貌似像這種帶有驗證碼的什麼用burp爆破啊,麻煩那位大大科普科普,
而後轉戰到前臺釣魚界面查看源碼,想插XSS,技術過低沒法繞過,前端源碼裏各類javascript函數過濾,而後分析....也不知道分析的對不對,
在用審查元素改改什麼的,失敗.......
最後...旁註,用Maltego收集信息社工,域名反查,社工褲,失敗.....無法子咯,放棄日站.....
這次滲透就到這裏了,文章沒什麼亮點,見諒見諒,就到這吧,但願能幫到一些像我這樣的新手...