针对某钓鱼网站的渗透测试

上一次是拿下了后台，把数据全部清空了，这次发现后台不一样了，不过钓鱼网站也是老生常谈了，心想就随便试试吧，反正应该挺简单的。

登录电脑版邮箱，点击立即查看后跳转到某个页面，这应该就是我们的主角了吧。

第一时间还是找后台，直接在域名后加上admin，后台有了，看来确实挺简单的。

尝试弱口令后提示一行英文，大概是说请提交数据到这个红框位置的域名，

说明这个登录点不行，可能只是作为一个中转。

访问提示的网站后发现后台也是一样的路径，尝试登录后提示有次数限制，

我突然急了，原来九尾狐真的有九条命，再尝试几个弱口令后验证码跳了出来，我的心碎了，爆破肯定是行不通了。

尝试了一些绕过和目录扫描也没有任何结果。 别问，登录框注入也试了。

还是回到后台界面，底部有一个PowerBy，大概是说版权来自某个网站，

而这个Contact后面跟的是一个倒过来的中文拼音，点击后会得到一个网易邮箱，说明这就是作者了。

访问e5xxx.net网站后，映入眼帘的是两个按钮。 看到有编辑器，脸上情不自禁地露出笑容。

点击VT模板引擎会跳转到某个目录下，如下图，貌似都是一些老旧的代码案例，

左下角箭头处出现了作者的中文名，程序员实锤了。

把代码全部看了一遍，依然没有突破口。

有一个演示的按钮，访问后得到一个编辑器的在线Demo，

看到这么老旧的编辑器我以为有戏，结果只能引用外部图片。

东翻翻西翻翻，看到一个自定上传界面。

上传点这不就出现了吗？

是的，确实上传了，还有上传时的进度条，结果给我返回了服务器下的表情文件？

而且还是不存在的？ 这上传点不行，放弃。 历史漏洞，是没有的。

找到了一百多条涉及该关键词的项目，几乎都是关于编辑器的，突然有个思路，

就是把Github的项目文件放到编辑器的Demo或者后台去匹配，看看能不能找到有效的上传点，结果还是不行。

这里有一个XXXPHP，同样的把代码全部放到后台环境去匹配，也没有任何结果，说明根本不是同一套系统。 还有，在渗透测试的时候，遇到类似的情况，可以把项目全部下载到本地，然后生成目录字典，这样可以对目标有一个了解。

本来钓鱼网站开局就是让你填个人信息的，这种能提交数据的，说明打XSS基本没什么问题，

尝试在姓名这个位置插入Payload，但是提示格式不符合要求。

那么再往下试，发现详细地址的位置可以插入，但使用Bupsuite抓包查看后，

好像是被过滤了，后来XSS平台传回的截图确实发现Payload没有生效，而是以文本的形式输出在后台。

然后再进行抓包，在Burpsuite里把姓名直接替换成Payload。 这里要补充的是，对于这种没有太多限制且是钓鱼网站的，全部都换成Payload就行了，或者说为了提高成功率，降低被过滤的情况，可以一半正常，一半恶意。

接下来就是静静等待鱼儿。 “你在桥上钓鱼，钓鱼的人在钓你。 ”

试了好几次都是一样的结果，感觉不太对劲，会不会是Cookie失效了？ 想到这个后台如此简陋，这个念头消失了，带着疑问，我尝试抓取访问某些功能的数据包，很明显，发现携带的Cookie与XSS平台收到的Cookie是不一样的，从而导致鉴权失败。

那么就只能手动逐个添加Cookie了， 还好Cookie值比较短， 不然还真是一个大麻烦。

添加Cookie后成功进入后台。

进入后台后简单看了一下上钩的情况。

由于不雅，我给某些字打码了，画风你们可以自行脑补，这说明网友们的觉悟还是可以的，

更有甚者，地址直接填了某某地的反诈中心， 真是让人看了哭笑不得。

而比较夸张的貌似是有人直接写脚本批量提交了一些脏话，“某某”省，“某某”市……而且还不带重复的。

不过上面说到的这些是被归类到了“投诉记录”，意思就是说这些数据是不能要的，

已经被排除了。 然而我提交的Payload也在这里。

还有一个“项目”的记录，里面的数据才是真实的，均涉及到了邮箱，姓名、手机号、地址、IP地址。 这看着像是要冲业绩。

大概所有的项目加起来，数据至少上万条。

功能全部翻了一遍， 没有找到任何一个上传点，附件管理也是空的。

有一个定时任务的模块，根据底部的提示，每分钟执行某个PHP文件，但是参数不知道怎么填。

盲猜这套系统有注入漏洞， 绝对路径知道了，GetShell也是后话了。