0x0 背景
福无双至、祸不单行。本来是风和日丽的天气,白帽子在工地认真搬砖然后被一些所谓的负(dou)责(bi)人怼了,心里感觉到很委屈。
0x1 过程
新学期课程表安排通知,感觉还是比较有针对性的,想一想自己前段时间加入一些考研群的,目测就是这些群里面的人吧。话不多说,就开启burpsuit看看通信过程。
一访问这个域名就直接跳到一个页面
http://o.a.jjnt.win/1.php?_wv=886?oNgf
直接就让我输入QQ号码和密码、然后我就输了一下抓包显示还是明文传输。
一共需要提交三个字段的变量:ip user pass
处理的PHP是456fghfghjkdg415646.php
然后对这三个变量测试了一番,安全性还做的挺好的常见的攻击方式都被过滤了。
准备看看有没有其他交互内容,根目录下面还有一个robots文件,也没有太大用处。
算了,还是换成正常字符走一下流程。输入之后直接就跳转到了QQ主页。
0x2 其他查询
上VT和微步都查询了这个域名,未发现异常。
查询了一下这个网站的域名注册信息,发现是一家叫成都西维数码科技有限公司的互联网服务商,提供VPS、域名注册等业务。
0x3 总结与建议
1.就只做到这里了本来还想反渗透给他发个Client后门交个朋友的,想想还是罢了。
2.虽然技术含量很低,目测很多安全意识差的人还是会中招吧,对于输用户名密码的地方一定要慎重、慎重再慎重,看清楚。
3.想了一下对于这种钓鱼邮件只有一个域名又没有威胁情报的,该怎么去检测识别以及防御呢????
