Python反攻钓鱼网站, 曝光作者私人信息, 严惩网络诈骗者!

image

正文

打开那个短网址http://dwz.cn/O*****Mm,跳转到了一个域名上http://www.**qq.com/

image

首先，先来一波差不多的信息收集，对，没错，我先查了他的whois，很幸运，他没有开启隐私保护，他的姓名，吴*财(从名字就可以看出来，很缺钱)，邮箱：2******[email]22@qq.com[/email]

image

有木有CDN，验证一波？？香港服务器....这种非法站，用香港的很正常....

image

端口开放检测

image

[图片上传失败...(image-3f6c1b-1533967446259)]

目录扫描，找一波后台，cool，找到了后台，

image

其他的文件卵用都没有,所以，只好从后台下手了/*admin/index.php

、

image

看他这个后台，我心里活动是这样的

image

看到了客服的qq，就是之前whois上的那个qq：2*****22

我慌了，POST注入尝试一波

image

不存在注入？？XSS盲打走一波，把能插的地方，全插一遍

image

What？？应该是有差不多的安全软件在网站上

但是我不好受，我也不能让他好受，所以，上Python

file:///C:UsersADMINI~1AppDataLocalTempksohtmlwps931.tmp.png

image

在登录处，我发现，只要是数字就行

image

Burp抓包，发现就3个参数u,p,bianhao

image

所以，我用Python生成一堆随机的qq号跟密码，然后利用requests来循环 POST 垃圾数据到对方的服务器，让他也找不到哪个是真的号，哪个是假的，啊哈哈哈

image

好了，想不到了，决定去看中国新说唱，让我炸起来，skrskr

啊哈哈，突然想到了，备份文件.....

站长可能没有删备份文件，于是我换了一个扫这个的字典，又是一波乱扫

image

这就很cool了，下载了这个data.zip发现里面竟然是install.sql

image

打开，翻翻数据

image

Md5解密

image

密码coolboy，卧槽，Are you kidding me??

额，好吧，找到safecode了，而且没有加密，开心

啊哈哈，这个safecode我第一眼看，身份证号，但是数了一下，14位，不够

352020*527

不管了，先登录了后台再说

image

除了我批量提交的100000条，至多有73名受害者，不算太多....

批量提交的效果是这样的

数据太多了，涉及其他受害者的隐私，所以其他的我就不截图了...

看他没导出数据，所以接下来做的就是立马删除数据

image

[图片上传失败...(image-a70e83-1533967446259)]

准备修改密码的时候，发现

image

坑逼，改不了密码，卧槽，心态崩了

既然改不了密码，那行吧，我认了..想办法，getshell

没有上传的地方，任意执行啥的也搞不到...

image

想到了3306,21端口还没有用到

3306貌似不允许远程连接，放弃

21端口，FTP服务走一波

用字典生成，生成了一波很差不多的用户名，很差不多的密码

image image image

用户名就是ftp加qq号

密码就是他名字简称加那个safecode

image

定位，必须定位一波！！

所以，我又用了阿釉的方法

把xss代码插到了后台那

image

加他qq，了解一波，并开始一波套路

image

空间关闭，百度qq号，只有一些网站类似这样的黑页...

image

说实话，我觉得这html写的还没有txt好看，啊哈哈

开始套路他登录后台

image

现在的年轻人真的是，可以，很牛逼，上来就是打技术

image image image

然后打到了，现在的人真的是离不开手机了...

image image

丢到经纬度查询的地方

image

定位到了这

福建省宁德市**区****村

过了一会，他又来找我了，真的是年少轻狂

image image image image image image image image

气炸了，写黑页，挂上去，卧槽，这种人必须教训

image

我忽然有了一个很大胆的猜测，我怀疑啊，

他的safecode就是身份证的前14位

我既然知道他的姓名，所以来一波爆破，我用了Crazyman_Army表哥的接口

前14位+从0000到9999，验证与名字是否符合，符合就返回，于是我写了一个python程序，这个接口较敏感，就不公开了

爆破了出来，太cool了

image

接着，去查身份证照片

image

卧槽，简直是完美了，接下来，我要找个最炫的黑页，去装逼，啊哈哈哈

image

等不到空格表哥炫酷炫到超过最炫民族风的黑页了，只好用这个了

另外把服务器上其他的东西删了，再挂上黑页

image

去教育一下这个小黑客吧

image image image

这态度转变的，卧槽，简直就是720度托马斯全旋

image image image

反思与总结

小黑客，不公布啥信息了，我还是有着peace and love的，作为祖国的一棵绿萝，我还是得好好的保护未来祖国的花朵的，啊哈哈哈

大家在互联网上行走，还是要做好自己的个人信息保护..最好不要用同一套密码，不要把自己的隐私数据(身份证号之类的)放在互联网上