前几天道哥曾经发布过一篇文章，《同事亲历的一次电话诈骗》。趁着这几天的军训闲暇，我完成了对文中网站的渗透并成功拿到 webshell，同时也对其他的钓鱼网站进行一系列的入侵。

根据我入侵的几个网站而得到的一些经验：

• 安全性很差，结构简单
• 有系统、有组织、维护人员活跃
• 不会长久运行，即钓即走
• 很难 getshell

安全性以及结构

这些钓鱼网站基本没有任何 XSS 过滤，即使有，也可以轻易地绕过；至于 SQL Injection 那就更加普遍了。极其少见的情况下会有任意文件下载，比如道哥的那个网站。

XSS

SQL Injection

大部分的网站结构是 access+asp 的，这也就是我说的很难进行 getshell 的缘故。网站后台极其简单，能有个给你添加统计代码的地方就谢天谢地了，大部分是这样的：

渣一点的

高端一点的

如果是 PHP+Mysql 的网站结构，入侵可能会更加容易一点。渣渣 Access 简直让人蛋疼(*´д`)。

其组织架构以及维护人员分部

由上图可见这些网站都是有一个系统性组织进行升级的，而这些单个网站的维护者大概是最底层的人员。这些人的活跃度比较高，基本插入 XSS 后几个小时内就可以上钩（最快的不到一分钟就上钩了）。而这些人员的地域分布以海南居多、其次是北京，山东出现过几次。因为我的数据量比较小，所以不能直观描述，也肯定有误差。

游击战策略

这些网站域名换的很快，比如一个《爸爸去哪》的钓鱼站，一天之内就有：

• babquek.com
• babquer.com
• babquer2.com

并且服务器多为美国主机，换的也十分快，大概是被 DDOS 攻击或者被主机提供商发现后就立刻换服务器。
道哥提及的那个网站是组织性和预谋性很强的一个网站，用 Linux 系统。不过大部分还是 Windows Server 2003 或者 Windows Server 2008。
由于这种游击战策略的实施，我觉得也很难进行根除的。
另外有一点，其网站维护人员的警惕性也是比较强的。当我入侵一个网站后，如果做了一些明显修改，那么这个网站将会在一天之内下线关闭(;´Д`)。

入侵实录

这就是道哥黑板报所提及的网站。首先右边的下载就让人眼前一亮——任意文件下载。

手工猜解一下目录，发现有列目录的漏洞。

把 conn.php 下载下来得到数据库的密码。

另外猜解得到后台地址在：http://xxxxx.net/manage/
之后寻找注入点，的确是有，但是 sqlmap 得不到数据。与此同时检查部分旁站，也毫无所获。随便试了一下后台的弱口令，就进去了(((ﾟдﾟ)))。后台密码为：

Username: admin
Password: 123456

进入后上传就映入眼帘。

此网站上传只是在前端有个验证，后端并未判断。


绕过之后得到 webshell。结合得到的数据库密码后成功渗透。


此团伙是一个作案严密的团伙，由上文道哥的黑板报所写出的过程来看，这是一个作案非常缜密与完备的团伙，人员数量众多。
由于这个网站应该是一个 VPS，所以其他网站是无辜的，我也就不打算继续深入提权了（其实是我不会orz），到此结束。

免责声明

以上全部是我瞎编的，请勿水表，我们宿舍每个月都按时交水费的呀QAQ。
我们宿舍饮水机也坏了，所以从来不定水，所以也没有送水的来..