简简单单日下诈骗网站
The following article is from 一个小白帽的成长之路 Author PowerShell_1
一
前言
刚下班回家准备睡觉,然后屌毛舍友刘,接了一个诈骗电话,号称支付宝的客服,学生认证到期需要修改,我让他别去他们给的网站,然后刚开始让他在支付宝才做,然后让他去网页,但是人家没给他发域名,而是中文的那种域名。
二
正文
让他在浏览器打开:征信查询网.run
给他说别访问,他访问了还把自己的身份证等信息输入了。
我还在使用扫描器扫描的时候,牛大的群友们已经进去到后台了,可以看到有很多人的信息和身份证,在额度管理哪里还有钱相关的东西。
我也紧随其后进去,在系统管理处有一个任意文件上传,他只前端校验了,后端没有任何校验。
上面还有很多被诈骗的数据,身份证,姓名,手机号等。
我在考虑shell怎么连不上的时候,已经有屌毛增加按钮了。。。
然后成功getshell拿下服务器,但是有宝塔。。。提了半天权没成功,好多命令无法执行。
师傅们太牛了。。等我连上去,已经拿下源码什么的了。
提权半天没提上。那就给他删库吧。。。
最近疫情,大家都没钱,谨防电信诈骗啊,朋友们!!!
三
往期回顾
某医院的实战渗透测试(组合拳)
非法入侵看守所监控系统,牢饭真的有这么香?
2022年Top20黑客工具