愚人节前的一天,早上十二点,我照常在机房里上着,当然其实是一边听着《湘夫人》一边冲浪(听课是不可能听课的.jpg)。就在这百无聊赖之际,我的手机猛地一震,我低头:
(此时我的内心:这怕不是哪个同学把愚人节时间记错了提前的发的愚人节玩笑吧)
好家伙,先不说这fw是不是在骂我废物以及离谱的“查询造成的后果有学生自己负责”,“复制浏览器”又是什么鬼,总之整条消息驴唇不对马嘴,属实是一眼假,但是这成功勾起了我的兴趣,想看看这个链接到底是何方神圣。
于是我准备在电脑上打开这个链接,为了防止你用https打开,他甚至贴心的在连接前为你加好了http,结果打开的瞬间没有绷住,是一个比我手机前摄拍出来照片分辨率还低的截图,并且没有做pc端优化(估计没想过有人用电脑打开),强制拉伸了图片变成了俄式比例:
点击后,提示我文件过大需要登录,便进入了一个钓鱼界面:
原本想用这个表单玩一玩xss攻击,结果我点击后蹦出来一个键盘-原来它用js实现了一个内嵌键盘:
你别说,这个键盘还有模有样的。
此时输入账号密码便会跳转到验证码页面:
输入验证码后就会跳转到一个伪加载页面:
整个页面极其生草,甚至用ai生成的代码注释都没删掉,估计在电诈园区里业绩也是垫底的。
在钓鱼页面检查登录按钮元素,发现它有一个“go”的id,遗憾的是,整个源码里面没有任何地方有“go”,再一看,原来它还有一个class,并且onclick时执行login()函数,在script里找到login()函数,其实是一个判断字符长度的函数,长度合规后引用了ds函数。(这里应该是套用了一些先前的钓鱼网站代码,但是又做了自己的改动,导致代码冗余严重)
在文件目录里找到一个叫script.js的文件,便可以看到这个ds函数,其功能就是向服务器传输数据,附带着一个保存信息的sv数组,可以看到,上传地址是父目录../data。
访问该地址,由于没有sv信息,直接进入了一个错误页面,在这里可以看到,该网站用的是thinkphp框架(这么简单的页面都得用框架)同时也直接提供了地址、环境变量等信息,有精力的可以去折腾一下。
虽然这只是个拙劣简陋的钓鱼网站,但我们也能学习到一些东西,例如这个内嵌键盘就可以直接拿来用,可以防xss攻击而且美观性也不错。俄式比例的起始页以及演都不演的伪加载页也可以作为反面教材。(当然不是教大家做钓鱼网站)
或许这个网页很小丑,但电诈无小事,许多人受害者都付出了惨烈的代价,希望更多的人能提高警惕意识,杜绝电信诈骗。
最后附上这个网站的链接供大家“朝圣”:xfgz.lomiyhc.com
No responses yet