xxooxx，干货看这篇!用手机对"钓鱼网站"的一次渗透过程

最近的618活动可以说是热闹非凡，即使是一些黑色产业界也要热闹地聚集在一起，随着各种钓鱼网站的不断出现，手法正在迅速变化。一个源代码改了名字，换了几张照片又成了罪犯的工具。

嚣张至极，今天俺代表村里用一部手机，慢慢揭开这张虚伪的面具！

进入正题

从某吧直接搜索钓鱼网站可以得到很多，我们随便挑一个！

就这个毒奶粉的吧！

先查查有没有可用的东西。whois查询得知

都是些虚假的信息，查查子域名和旁站还有cms识别一下(其实cms识别我是不抱希望的)

emmmm，信息收集这一块属实没啥有用的东西，换个角度入手，看看收信文件

xxooxx.php，传递方式为post，参数是u和p

想试试xss的后来发现被过滤了，<>会被随机转成其他符号。一个小小的钓鱼网站居然还知道防xss，佩服佩服。

后来看了一下服务器不是阿里云的，扫了一下目录出来个备份文件！估计骗子懒了，忘了删除。天助我也！

直接找到后台和账号

解密后md5为

登录看看

因为源码太过简陋，想getshell也不行。本次渗透到这里就结束啦。喜欢的朋友麻烦点个赞再走吧，制作不易谢谢啦！

#网络安全在我身边#