由小小姐炫耀引起的一次钓鱼网站入侵并溯源

在实行了好几个小时之后，我只挖到了讯的某个可以或许走漏用户名的 JSONP 和度可以或许走漏部门用户名的 JSONP 裂痕，我很快将这个裂痕写成操作剧本，在调试后陈设上去获得广东朋友的 QQ 名字“龙腾九天”和“怪兽”

0x06 格盘跑路

因为我其实没有更多时刻和他们耗，再耗下去我就要挂科了，抉择直接粉碎造成精力冲击!

关你的处事!

格你的D 盘!

改你的桌面!

(美中不敷的是微博二字打错了)

(附注：脏话仅用于玩梗，并不代表作者本人平常的素质，我的伴侣们都可以作证)

没有截图的是我整理日记的部门，这一部门我是做了的只是没有截图，但愿列位在做沟通工作的时辰留意小我私人掩护

7. 总结

一些必要留意的渗出细节：

• 在渗出的时辰假如能修改 php.ini 就可以打破 PHP 榨取执行高危函数造成的呼吁不行执行。搞 IPS 的时辰可以榨取 PHP 修改敏感文件来举办起源防护
• 扫目次挺有效的
• 不管是哪种取证，体系日记都是很重要的打破口。同时防取证得删掉日记
• Windows Server 暗码伟大度有要求，渗出时账户建设失败也许是暗码不足伟大

不敷之处：

1、文中内容是精简过的。整个战线托的太长。要蕴蓄履历

2、留后门留得太明明，应该留到网站原有的文件里去，最好是漫衍在多个文件来免杀

3、得蕴蓄 JSONP 裂痕，不要像我这样现挖。我都在思量写一个扫描 JSONP 裂痕的插件了

4、得蕴蓄一些针对海内软件(如宝塔)的信息汇集工

【编辑保举】

1. 提倡一次收集进攻要花几多钱？
2. 收集进攻暴涨，黑客们有了新方针
3. 你是否能抵制这些常见范例的收集进攻？
4. 鱼叉式收集垂纶对组织的影响以及怎样应对这种日益严峻的威胁
5. 防备鱼叉式收集垂纶进攻的8个秘诀

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!