记一次对钓鱼网站的渗透测试

有学弟、学妹在群里发个腾讯文档的链接网站群安全，然后过了一会儿学妹说别点，病毒！但是我好奇心就是有点重，想看看这是啥。后发现是一个短网址链接，打开后指向一个IP地址。

打开后为一个仿QQ邮箱登录的钓鱼页面，输入账号密码后会跳转到真正的QQ邮箱登录地址。

下意识对输入框插入xss payload，然后打开该网站首页，是某短网址生成平台，目录扫描无果。

尝试登录短网址管理平台：

注册用户并成功登录：

到网上搜索下载该短网址平台源码，部署到本地并进行审计，看能不能找到突破口；有很多SQL注入点，但是有360webscan的关键字检测。

找不到突破口就放着不想动了，放着吧……

过了两天，发现一个小惊喜，收到了xss饼干到账邮件：

cookie可能过时了，不过先上去看看：

发现不需要cookie，就可以查看数据：

好家伙，六百多条账号和密码用户信息。

通过路径扫描工具，发现后台地址为/up/tt/login.php:

打开后台页面：

使用弱口令进入后台：

进去就是一个资料管理页面，没有其他可以操作的。

算了，先告诉警察叔叔吧!

原文始发于微信公众号（SK安全实验室）：记一次对钓鱼网站的渗透测试

（编辑：云计算网_宿迁站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!