黑掉10086伪基站钓鱼后台以及常用入侵方法

原创 Yuntongxue 2017-05-04 20:24  阅读 2,545 次 评论 0 条

晚上逛某云的时候,发现一个帖子,如图:

weijizhanshebei
已经有人入侵进去了,我想别人能入侵的我就一定也可以!(虽然最近比较颓废好久不撸站,试试手,小伙子要自信点)
前面大牛说有防注入,那我等渣渣技术就不往前台进行SQL注入扫描了...... (技术渣就这样)
既然前台有防注入,那我就后台扫描......
随手在后面加个admin就跳转到后台管理页面http://10086mza.cc/admin/login.asp (别问为什么我加admin,撸多了就这样!)

weijizhanhoutai
然后我就拿着御剑一路狂扫........(此剑非彼剑)
好吧,一会就出来结果了!http://10086mza.cc/admin/Admin_Manage.asp

ruqin10086weijizhan
典型的后台设置不严格....不知道哪位人才写出来程序....
既然后台账号密码出来了,那就登陆 admin qq123321
钓到的银行卡真多.....

tupoweijizhanhoutai

截止到发帖时间,有大牛吧那些银行账号全特么删了,,,真是操了狗啊,我就上个厕所的时间...... (看来手速还是不行,看来的多撸了)
这里就发发这种伪基站钓鱼站的入侵思路吧....
全国伪基站钓鱼几乎通用这套系统。很老了,没人维护,买伪基站设备送一条龙服务。搭建钓鱼站,域名,手机APP,控制和收集手机信息。手机安装后看不到图标,后台运行。从伪基站发信息到取钱完成基本一条龙,用户最后被取走钱都不知道怎么回事。这种钓鱼方法从去年开始在地下市场悄无声息的火了起来,全国各种案例也很多,隐因此被骗的客户新闻也上过很多次。火车站,机场,汽车站,小区,医院等人流量密集的地方经常能收到。不止10086 也有10010 95559等各种银行信用卡积分兑换等钓鱼信息。这也算是2G留下的后遗症吧...

sougousb
这种站基本都是后台过滤不严,直接爆账号密码

贴出通杀技巧0x01
http://xxx/
后台/Admin_Manage.asp (这个其实之前也有人爆出来了,什么都不是万能的,要善于变换思路)

通杀技巧0x02
这种后台都是没有验证码识别的,可以通过一些软件强行进行爆破入侵....说人话就是软件开线程批量尝试后台管理员账号密码....burp PKAV HTTP Fuzzer都是不错的软件

通杀技巧0x03
一般这种钓鱼站前台都是防注入的,但可以通过xss盲打管理员cookie
从而达到入侵的目的! (红色标记的地方输入构造好的xss语句,然后插入!)

3
ps:其实后台也可以注入的,前台防注入后台并没有防注入保护!如图:


到此文章就完结了。这里提醒下大家,遇到要输入银行卡信息的都要注意!一不小心银行卡被洗劫了就不好玩了!

伪基站危害:

1.伪基站顾名思义就是伪造的基站

2.伪基站范围内用户手机会自动连接到伪基站

3.伪基站可以伪造任何数据给连接的用户发送短信

4.伪基站会向用户发送钓鱼网站或者是钓鱼APP,致使很多人上当受骗,害了很多人

5.伪基站主要出现范围:校园,高速,人员多的地方

安全防护措施:

1.不下载任何陌生app程序

2.不要相信任何银行短信,中奖短信(可以打官方电话确定后三思而后行)

3.不要相信任何人(传销也都是从亲朋好友开始的)

版权声明: 本文为云小哥博客原创文章,欢迎转载。转载请务必注明出处! (参考格式:本文转自云小哥博客,原文地址:https://yuntongxue.cn/576/
相关文章 关键词:

发表评论


表情