最近钓鱼网站也是越来越多了，这些网站大部分都是同样的套路：仿制一个登录页面要求你输入账号密码，然后再要求你输入验证码。其实这种钓鱼手段基本上看个域名就能一眼丁真，不过大部分现代人都没有这种意识罢了。

钓鱼哥跑路太快有些地方没来得及截屏，所以这篇文章可能观感不是太好。

0x00 信息收集

社会工程学

首先查找域名 WHOIS 信息，发现这个域名曾经变更过 WHOIS。

（P.S. 用 .cn 和 QQ 邮箱搞钓鱼真不怕查水表吗？）

还挺多一眼丁真的钓鱼域名，估计这事干的也不少了，还没被抓也是奇迹。

这个 QQ 用免费盒武器也开不到什么有用的信息，作罢。

网站信息

网站建在西数的虚拟主机上，这意味着一些权限可能受到限制。

网站自带西数的 WTS-WAF，在网上能找到一些 bypass 。

主页必须带 p 参数访问，否则跳转到其他地方。

dirsearch 能扫到 /admin 路由，这页面真是重量级。

从主页收集了一些 API。不得不说这几年钓鱼的网页都没有几个能无脑 SQL 注入了，也没有那么多回显，水平提升还是挺大的。

0x01 攻击过程

天才程序员

dirsearch 扫了半天也扫不出什么东西出来，大概全给 WAF 拦了。

把目光移回这个管理页，懒得用弱密码爆破，应该也不会蠢到用弱密码。

随便输点注入语句也过不了，可能是在文件里硬编码的。

渗透到这里，这个网站的安全性看上去还是不错的，但是马上就暴露了。

登录失败有个跳转链： login.php -> cx.php -> index.php ，我比较好奇 cx.php 是什么东西，这个页面带有一个 party 参数，内容为明文传输输入的超级密码。

当把它扔到 Postman 的时候准备测试的时候，我傻眼了：

在浏览器中点击时会直接跳转到 index.php，也抓不到这个 HTTP Response。但是在 Postman 中重放请求可以看到所有数据（Burpsuite 应该也能抓到）。

也就是说，无论你有没有登录成功他都会返回数据，鉴权只是前端功夫而已。

这个数据页面暴露出了一些 API，可惜我都没找到能注入的点。真的佩服这个人能写出如此天才的代码，虽然有些问题但都不大。

难道第一次渗透到此就结束了吗？

no XSS

第二天后知后觉发现这个页面显然是可以 XSS 注入的，结合上面的 party 参数就能搞到超级密码。

不过搞到密码可能也没什么用？我不用鉴权都能看到后台数据了。

不过还是传了一个 XSS Payload 上去，这钓鱼哥半天都不上号，啥都没搞到就是。

盲注

继续挖洞，发现有个删除记录的 API /sc.php，接受一个 id 参数。返回删除记录是否成功。

当 id=1||1=1 时，发现把库全删了。

所以我们可以布！尔！盲！注！

这里也确实注入进去了一些，拿到三个表：student, user, data。

在 user 表中爆出了几个账户（密码居然都是 123）。这个账户和主页的 p 参数有关。

可能是权限太低的原因，不能用 SQL 读写文件，所以 Shell 就传不上去了，也搞不到源码。

五点多渗透的时候发现钓鱼哥删库跑路了，就此作罢。

0x03 总结

这次没有 Getshell 是比较可惜的，一些操作也没有注意隐蔽性，容易打草惊蛇。不过能把所学知识运用到实践中的感觉还是挺爽的，期待下一个免费靶场。