给“钓鱼网站“做一次安全测试

给"钓鱼网站"做一次安全测试

事件背景
毕业了一年多，上周末个人的电子邮箱竟然收到了一封”钓鱼邮件“，给我整无语了！怎么说，目前工作也是搞安全相关的呀，有点感觉被侮辱了。就试着给他的钓鱼网站做一次安全测试，”用魔法打败魔法“！（再次声明，这是境外网站！不要在墙内做任何没有报备的的安全测试！）

01 情报收集

情报收集，情报齐全才有突破口。

1.1 域名端口扫描

通过一些whois在线查询网站，收集该域名相关信息。

1. 根据域名DNS解析情况，发现该服务器IP是香港的一台服务器。
2. 扫一下常用端口，发现只开了相关业务端口80,和windows远程连接端口3389。

02 网站分析

网站分析，便于下一步具体的攻击

2.1 WEB漏扫

通过AWVN这个web漏扫工具，对这个域名进行web漏洞扫描，再进行下一步研判。

2.2 人工分析

通过浏览器调试工具，人工分析该网站静态网页路由，可知该网站交互页面至少有两个。
输入账号密码页面，短信认证页面，还有一些无效的静态页面，就不列举。 这步人工分析的目的，补全 2.1 web工具漏扫可能遗漏的内容，
初步判断是否有后台管理页面，以及与其相结合进行攻击（这种交互页面后面就与web漏扫的结果能够联动，进行第三步的SQL注入）

02 SQL注入

SQL注入，通过SQL注入的漏洞，获取数据库信息

2.1 sqlmap工具注入

根据步骤2，分析出的SQL注入漏洞，使用sqlmap进行sql注入。相关语法，不再重复，可去官网查询

图一，拿到了数据库的各个表结构信息

图二，拿到了关键数据库qqaacc里的qq_list表的字段信息

图三，拿到了qq_list表的数据内容，并输入本地csv文件

图四, 拿到了数据库登录的密码，还是弱口令...

03 总结

总结一下收获

3.1 数据验真

在sql注入之前，数据库里就有六七个人中招的记录，甚至有重复的账号密码记录（可能是觉得钓鱼网站卡断，多次输入个人账号密码），通过见到校验，发现密码都是对的，能够进入手机密保验证流程。结合钓鱼网站存在手机验证码页面，推测这几个号已经极大概率被盗，或者已经授权登录，曾经风靡一时qq空间，各类群聊发”绿色小卡片“就是授权登录导致。

本次安全测试，作者个人响应还是很快的，从发现该钓鱼网站，拿到数据库信息，不到一天时间。在一天内，就发现了十个左右的用户中招，可见该类钓鱼屡试不爽。

3.2 进一步思考

成熟的钓鱼，理论上应该有后台系统，方便管理。如果能够进入后台，查看相关数据，操作性就会更大。
但经过联合分析（后台工具扫描，人工分析页面路由代码未发现后台页面，数据库命名简陋，除业务端口只开放了windows远程连接端口…），该钓鱼网站应该是没有后台登陆页面，第一次的安全测试到此结束。

04 后续

钓鱼网站后续

发文的今天，再次尝试访问该网站，该网页已经下线了。不得不推一波，奇安信威胁情报中心(https://ti.qianxin.com/)，收集情报确实好用，该钓鱼网站链接也被记录在案，不懂是不是有人举报才记录的，总之，确实方溯源追踪该域名IP信息。
在奇安信威胁情报中心(https://ti.qianxin.com/)溯源相关IP解析的域名，突然发现个彩蛋，这个IP又上线了另一套钓鱼网站，有时间再去帮他做一下安全测试，练练手。