​

上面这条信息是一个网友的，2020年过年期间有几个网友在火车站遇到手机给偷了，然后也收到这种信息，然后跑来私信我求助，而且过年期间上百个“赌徒”输了钱找我帮他们意淫一些奇葩想法！

访问了这个页面，这个截图是过年期间的截图的，有部分后来补上的！页面非常逼真，跟真实的简直一样包括pc端，之前我也“遇到过几次这种钓鱼网站”但是都是比较简陋，大多数都有漏洞的，但是这个有点不一样所以，尝试一下测试。

登录的时候会验证我输入的“账号密码”是否为苹果的密码例如WINWIN.dd22这样子，如果到达不了这个安全性的密码，是会显示密码错误。

 像图一图二，这样的登录系统，一般都是习惯测试SQL注入，但是这种是钓鱼网站，我输入的信息对方是一定会接收到的，所以习惯性的插入XSS载荷，这可能是最直接的方式。

输入payload的时候，这里前端做了一些限制，只能输入7位数好像，不过是前端限制的，直接在数据包里面替换就可以绕过了。

测试了xss的完整payload过去，发现是有收到xss生效的信息，但是对方网站是存在httponly，没收到有用cookie

一共两条，其中一条是返回，页面的html源代码，这是一个很关键的，我这里标记一下。

登录处也测试了几次，发现没有什么漏洞，用户返回可以self-xss，没什么作用，前端登录框架跟系统内部的，源代码大部分是不会暴露在，所以刚刚xss虽然没有cookie，但是返回了一条有用的html源代码

看到这里，他们对外面的安全性，还是可以的，一个php文件名字也设置的很复杂，有了这个系统内html源文件就方便很多了。

其中可以看到这里有个/password的目录跟请求参数，下这是一条创建新管理员的请求，我测试请求。

上图中做出一个，构造的请求包，这是按照系统给出的参数跟路径，做出的请求！但是这里显示“请先进行登录”没有越权之类的操作

但是这里可以与前面的xss，一起配合试试看组合一个xsrf，前提这个请求数据包是存在csrftoken的，这里地方我卡主了很久！因为csrftoken必须存在才能保证测试有效。

在这个步骤卡住了一段时间之前，后来想换其他方式测试，但是无意间在前台做出一条post的请求的时候，发现每次请求数据包里面会给我一条csrftoken，这条token我多次验证，最终得出一个结论就是，每次请求会给我一条全新的token，如果这条token我不去使用，它是一条有效的csrftoken，如果使用了就无效，这是一个突破点，这条接口帮助了我。

这样可以把我新生成出来的token放进去，管理员请求了，就会变成一条有效的操作请求

配合xss.js可以直接提交给管理员，然后管理员如果再次收到我的恶意payload就会自动创建一个新用户出来，但是我需要搭配一条非同源的访问记录链接，这样管理员访问到我的payload时我就会收到记录。

上面这里被请求到了，马上就有了记录，可以试试看“管理员”帮我们创建的账号

这家钓鱼网站，做得还是很不错的不过几张图是后面补充，所以没讲太明白，过程大概就这样，然后到了后面，他们把网站给关闭了，换了其它地址应该是，发现了我

查了一下域名相关的邮件跟姓名，其实这种网站你把它黑了，他们也不在乎，我查了一下它一个邮件就有70多个专门用来钓鱼的域名

所以这里提醒一下，手机被偷后收到这种短信大部分都是来钓你的id号

首发“微信公众号（快识）”，关注公众号：快识，发送01，领取1000G学习教程以及学习规划路线