最近618活动可谓是热闹非凡，连一些黑产行业都要来凑个热闹，各种钓鱼网站层出不穷，手法变得那叫一个快！一个源码改个名，换几张图片就又成了犯罪分子里的工具。嚣张至极，今天俺代表村里用一部手机，慢慢揭开这张虚伪的面具！

进入正题

从某吧直接搜索钓鱼网站可以得到很多，我们随便挑一个！

就这个毒奶粉的吧！

先查查有没有可用的东西。whois查询得知

都是些虚假的信息，查查子域名和旁站还有cms识别一下(其实cms识别我是不抱希望的)

emmmm，信息收集这一块属实没啥有用的东西，换个角度入手，看看收信文件

xxooxx.php，传递方式为post，参数是u和p

想试试xss的后来发现被过滤了，<>会被随机转成其他符号。一个小小的钓鱼网站居然还知道防xss，佩服佩服。

后来看了一下服务器不是阿里云的，扫了一下目录出来个备份文件！估计骗子懒了，忘了删除。天助我也！

直接找到后台和账号

解密后md5为

登录看看

因为源码太过简陋，想getshell也不行。本次渗透到这里就结束啦。喜欢的朋友麻烦点个赞再走吧，制作不易谢谢啦！

#网络安全在我身边#