近年來，隨著信息技術的迅猛發展，網絡已經成為我們生活不可或缺的一部分。網絡小芬給我們帶來方便快捷的同時，也成為詐騙犯罪的溫床，不發分子利用網友的好奇心理，制作上線釣魚網站誘騙消費者。釣魚網站是不法分子盡心網絡詐騙的主要手段之一。

今天講的就是一次對釣魚滲透到社工的經歷

廢話不多說 看圖跑進來的請認真看 記好筆記

目標站 http://www.caoliu10240.com/

1024大家并不陌生把 沒錯今天說的就是一個草榴的釣魚網站，網站是假的，可收集你個人帳號和密碼信息確實真的!

點擊任何東西都要你注冊 抱著激動的心情我們注冊一個試試，然而注冊完了需要你交錢成為vip才能給你看，或者還有一個辦法就是要你推廣到各個群

要有是個人通過你的邀請連接注冊了那么你就能不用交錢成為會員，我相信大部分人都會選擇丟到個大群讓別人去注冊把，然而就算通過你的邀請連接注冊了上百人上萬人你也根本不會成為那傳說中的SVIP

然而這并沒有什么卵用，他們的目的就是為了收集你的帳號密碼，然后通過你發送的邀請連接收集跟多人個人賬戶密碼，滾雪球一樣，沒有限制，也沒有終點!

下面就是日戰環節 國際慣例隨手試了一個admin找到了后臺 熟悉的界面

良精南方cms

直接利用越權添加賬戶密碼漏洞添加一個管理員 然后我們進入后臺看看把。

閹割版 試了幾種那shell方法就不成功 編輯器組建被刪除 上傳點被刪除 網站配置沒敢插 怕插壞了配置線面工作就沒法干了 繼續看：

截止到昨天就有10000+用戶的信息被收集 用戶名 密碼 郵箱

既然搞不定shell 那么我們就搞管理員了

通過whois信息查詢到郵箱一枚

空間里面都是買藥的 不知道藥是真是假

不敢相信一個妹子搭建黃色網站收集用戶個人信息 繼續社工

通過百度得知 他有經常活躍在糗事百科

用戶名為