网络安全实战，一次报错页面搞定zfb钓鱼网站！

起因

事情是这样的，站长正在无聊的hw看waf中，然后收到一份评论邮件，如下图：

当时看到的时候也没在意，然后这个人就加了我的群，在群里说明了一下，说这个骗了挺多人了，然后就发出了目标的网址，我就抱着无聊的心态随手打开看了下，就开始了测试==

开始

1.随手打开目标站点，界面还做的挺逼真的，如下：

随手就开始基础的渗透测试流程~ 什么信息收集，目录扫描等等就不放出来了，反正基本啥东西都没搞到~

我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程，需要的小伙伴可以扫描下方二维码或链接免费领取~

2.随手打开burp，尝试抓取登录的包，然后发现后端是python(基本很少遇到)写的~

温馨提示

既然是个钓鱼页面，肯定是收集信息的网站，所以一般我们都会尝试xss盲打，这里打了一下，但是没成功

3.接着继续测试，然后出现了一个突破口，一个报错页面，应该是后端不允许发送空值，然后就异常报错了，而且django的debug没有关闭。

（这里我们没有传值过去，所以是空值，导致后端异常抛出）

4.接下来开始查找报错页面上有用的信息，发现了一堆东西，如下：

（使用者：admin）

（疑似管理员的连接服务器ip）

（mysql的相关信息~）

（python版本，以及一个github的项目xxx-master(应该是管理员直接clone下来的项目)）

然后在作者的源码里发现了一个邮箱，但是没有继续深入~

（发现后台项目：xadmin）

后台

1.之前通过报错页面找到了一个xadmin项目，项目地址：https://sshwsfc.github.io/xadmin/

随手在目标站点加个xadmin目录，成功找到后台。

2.没有验证码？那这不爆破走一走？？？，用户名根据xadmin的github项目说明可以知道默认用户是admin，密码直接上我的top1w

3.成功搞出密码，运气日站？，弱口令永远滴神！

第一次进入的时候后台数据挺多的，各种信息都比较全，但是后面管理好像会定期清理数据。。

后记

总结一下，就是运气日站，弱口令永远滴神！！后台的功能太少了！django+xadmin写的项目，和朋友研究了一晚上，好像根本没有办法getshell，太难了！然后貌似这个还是一个有授权到期时间的站点？不仅有zfb钓鱼页面，还有jd等~应该是个团伙作案，还有个小号QQ，每天也会经常修改get的访问请求参数，然后就没有继续深入了。

最后说一件有趣的事情，那个让帮忙的人说我可以去他的店铺随便选衣服，然后我看了一下，他的店铺是卖童装的。。。

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，请看下方扫描即可前往获取

👉1.成长路线图&学习规划👈

要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

👉2.网安入门到进阶视频教程👈

很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。（全套教程扫描领取哈）

👉3.SRC&黑客文档👈

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍：

黑客资料由于是敏感资源，这里不能直接展示哦！ （全套教程扫描领取哈）

👉4.护网行动资料👈

其中关于HW护网行动，也准备了对应的资料，这些内容可相当于比赛的金手指！

👉5.黑客必读书单👈

👉6.网络安全岗面试题合集👈

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

所有资料共282G，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，可以扫描下方二维码或链接免费领取~