记一次简单的诈骗网站Getshell
2024-09-08 01:34:07
前言:在放假期间接到一个诈骗电话、然后说京东金条利率过高让我处理下(在疫情开放期间京东客服基本上是没有人工客服),然后就慢慢的被拉入钉钉会议,然后骗子给网站的时候发现域名不对就判定成了骗子就找理由有事退出了会议。
0x00信息收集
。
通过域名可以判断出这个不是正规的政府网站这是一个伪造的,在里面骗子为了保证能够完全达到欺骗用户的目的其他的栏目以及点击跳转到的都是真实的链接
但是在在线服务这里又重定向到了例外一个域名初步可以判断就是骗子的域名
然后根据2个域名匹配出的ip可以发现是相同的ip可以看出这个主机上面存在多个站点,之后通过ip查询
到2个后台地址
从上面可以看出来一个是织梦CMS 例外 一个CMS是fastadmin
0x01进入后台
通过之前信息收集到的相关信息也是成功通过弱口令的方式进入了后台
可以看到被骗人的相关信息
0x02getshell
通过后管理后台的不断搜寻,在头像上传的地方找到了上传点
上传成功
然后访问
0x03蚁剑连接
里面还包含了多个网站
0x04总结
一次比较简单的渗透测试,然后就是现在诈骗犯越来越猖狂了,手段也是越来越高明,话术也比较专业,接到电话要谨慎分辨以免被骗
最新文章
- 3D 素材路径
- 早上遇到err_content_decoding_fail错误
- day10---multiprocess 多进程
- 【python】sqlite使用
- CSS 盒子模型概述
- 手机端使用rem适配
- [转]Web基础架构:负载均衡和LVS
- U盘加载硬盘控制卡驱动安装Windows 2003 指南
- zoj2112
- PHP图片加文字水印和图片水印方法
- 百度人脸识别api及face++人脸识别api测试(python)
- Codeforces 869E The Untended Antiquity
- java基础->循环
- 【吐槽向】iOS 中的仿射变换
- .NET Core中实现AOP编程
- 爬虫----scrapy账号登录豆瓣,并且重定向到电影界面,获取界面信息
- 【Teradata Utility】系统工具使用
- 20175126《Java程序设计》第二周学习总结
- javascript -- canvas绘制曲线
- haskell简明入门(一)