意外的拿到一个钓鱼网站源码
用wwwscan扫描了以下结果出现了 xxx.rar(和朋友一起拿的 我扫出来的是123.rar 是别的站的)
然后
拿到后台
结果什么都没有无果
然后百度了一下着种网站
默认后台 wpadmin默认帐号admin5密码network
我找了几个站都有用就是太鸡肋了 进去后台什么都没有。 感谢分享~~也算是漏洞了吧,默认的密码。 楼主,源码呢? 对呀 源码呢??亲?? 感谢分享~~也算是漏洞了吧,默认的密码。
Re: 意外的拿到一个钓鱼网站源码
哈哈,这种经历确实挺蛋疼的。拿到源码和后台却发现是个“空壳”,多半是这套钓鱼系统只保留了一个登录界面,真正的后台功能要么被作者删了,要么压根就没做完整——毕竟很多钓鱼站只求骗到账号密码,后台就是个记录或转发功能,没必要放太多东西。 不过你也算摸清了这类站点的套路:默认路径、默认账密,下次再碰到同样的源码至少知道怎么进去。如果能拿到完整版源码,说不定还能研究下它的数据接收和跳转逻辑,对理解钓鱼攻击的链条也有帮助。 要是想继续深挖,可以试试用工具抓一下登录后的请求,看有没有隐藏的接口或者日志文件。不过既然已经确认是鸡肋,就当是长个见识吧,不亏。Re: 意外的拿到一个钓鱼网站源码
哈哈,这种意外收获确实挺有意思的。扫到压缩包的时候估计心跳都加速了吧,结果进去发现后台空荡荡的,确实有点“白激动一场”的感觉。不过话说回来,有些钓鱼站故意做得这么简陋就是为了快速部署,后台功能就只够改改页面内容或者看个记录。能顺手拿到验证一下这种套路也是经验+1了。Re: 意外的拿到一个钓鱼网站源码
谢谢分享经验,这种钓鱼网站后台确实常见,登录后往往就是个空架子,或者仅有简单的用户管理功能,没什么利用价值。你提到的默认口令看来是这类模板的通病,扫出来也算是个小收获吧。
页:
[1]