漏洞概要

缺陷编号:
暂无

漏洞标题:
钓鱼网站擒拿小记

提交时间:
2018-04-16

危害等级:

相关厂商:

漏洞分类:
安全文章

关注度:
共 8 人关注

漏洞详情

2018.04.08 晚 19:18

又是一个寂静无人的夜晚,本通正在被Boss苦逼压榨自己的剩余劳动价值的时候,突然公司老铁在群里发了一条微信。点进去是一条新闻,大概述说了男主人公(以下简称X男)一段短暂而惨痛的被骗经历。

钓鱼网站擒拿小记

钓鱼网站擒拿小记

新闻的主人公X男在陌陌上认识了某个“小姐姐”(加引号的原因大家都懂,谁知道是不是一个2米高的壮汉……陌圈水深,大家擦亮自己的钛合金大眼),和“小姐姐”聊了一会儿。

交友SOP下一步就是加微信

加了微信聊了一阵子后,大概聊出了一点感情。此时,“小姐姐”开始切入正题,向X男推荐了一个兼职刷单的网站。X男一开始试着刷了几次小额的单子,对方都及时返还了(人家目标可是一个“亿”)。当X男开始信任此种刷单真的能赚钱的时候,对方提供的单子金额变大了,规则也变复杂了,最后的结果就是在该网站上刷单后并没有返还X男刷单的钱。

诈骗SOP下一步就是逃之夭夭

“小姐姐”小目标达成,拉黑不送嘞嘿。可怜X男被骗了一万多,“小姐姐”也没了,人财两空。

这个故事告诉我们“陌陌都是有钱人玩的”。

23.jpg

23.jpg

   这个故事告诉我们

不要在寂寞的夜里和陌生人聊嗨,容易被“坏人”骗。

13.jpg

13.jpg

其实,这个故事是告诉我们

X男遇上钓鱼网站啦!

作为普通市民的我们要擦亮“火眼金睛”,保护寄几和寄几的钱包。

 2018.04.08 晚 19:26

程序猿的本能(搞点事情)驱使着本通寻着网址进到这个刷单网站http://www.meilishuozs.com/index.php)。

emmmm……这不就是ecshop嘛!

钓鱼网站擒拿小记

钓鱼网站擒拿小记

查了一下域名的信息,在whois上查到该贵人的信息。

钓鱼网站擒拿小记

钓鱼网站擒拿小记

查了一下ecshop的版本,一个比较老版本的ecshop了,正面杠没什么意思,那看看爆mysql吧。

emmmm……随手一试弱密码。他喵呜的!就进去了???敢问苍天饶过谁!

钓鱼网站擒拿小记

钓鱼网站擒拿小记

找到了user表。一看,管理员就出来了于是就登录了后台

4.png

4.png

5.png

5.png

2018.04.08 晚 19:26

这就算拿下了吧?我还加了这个兄dei的扣扣,不知道会不会通过。顺手搜了一波ecshop的get shell的方法,找到一个大神的方法,通过修改语言项编辑、用户信息,插入webshell,成功菜刀连上。

钓鱼网站擒拿小记

钓鱼网站擒拿小记

在此期间,仍有人不断上当受骗

钓鱼网站擒拿小记

钓鱼网站擒拿小记

最后我也不知道要怎么做,交给各位表哥了。

今夜的大事总结成一句话:本通代表月亮,黑进了该钓鱼网站

钓鱼网站擒拿小记

钓鱼网站擒拿小记

小秀了一波操作,接下来就是本通科普碎碎念时间。保护普通市民,从本通做起。

〖什么是钓鱼网站?〗

钓鱼网站(Fishing Website)

钓鱼网站通常是指伪装成银行及电子商务等网站,以此来骗取用户银行或信用卡账号、密码等私人资料。一些恶意团购网站或购物网站,假借“限时抢购”、“秒杀”等噱头,让用户不假思索地提供个人信息和银行账号,这些黑心网站主可直接获取用户输入的个人资料和网银账号密码信息,进而获利。

〖如何识别钓鱼网站?〗

识别窍门

仔细核对网站域名:钓鱼网站一般都是在真网站的域名上做手脚,而且是很不容易发现的那种。For example,把常用的英文字母I换成数字1,把.cn换成.com。

比较网站内容:字体清晰,样式统一,栏目链接有效。钓鱼网站的字体一般模糊不清,字体样式也不一致。网站上没有链接,用户可以点击栏目或者图片中的各个链接看是否能打开,如打不开很有可能就是钓鱼网站。

查看网站安全证书:此类网站网址都是以”https”打头的,尤其是涉及输入密码等相关界面,表示已加密。如果发现不是”https”开头,就要提高警惕。

查验“可信网站”:不少网站已在网站首页底部放置第三方网站身份诚信认证标识,我们可以通过第三方网站身份诚信认证辨别网站真实性。

当然除了get以上窍门,还可以点击此处了解钓鱼网站更多知识。

*本文作者:网络安全通,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

发表评论

电子邮件地址不会被公开。 必填项已用*标注