釣魚網站擒拿小記

又是一個寂靜無人的夜晚，本通正在被Boss苦逼壓榨自己的剩餘勞動價值的時候，突然公司老鐵在群里發了一條微信。點進去是一條新聞，大概述說了男主人公（以下簡稱X男）一段短暫而慘痛的被騙經歷。

新聞的主人公X男在陌陌上認識了某個「小姐姐」（加引號的原因大家都懂，誰知道是不是一個2米高的壯漢……陌圈水深，大家擦亮自己的鈦合金大眼），和「小姐姐」聊了一會兒。

交友SOP下一步就是加微信

加了微信聊了一陣子後，大概聊出了一點感情。此時，「小姐姐」開始切入正題，向X男推薦了一個兼職刷單的網站。X男一開始試著刷了幾次小額的單子，對方都及時返還了（人家目標可是一個「億」）。當X男開始信任此種刷單真的能賺錢的時候，對方提供的單子金額變大了，規則也變複雜了，最後的結果就是在該網站上刷單後並沒有返還X男刷單的錢。

詐騙SOP下一步就是逃之夭夭

「小姐姐」小目標達成，拉黑不送嘞嘿。可憐X男被騙了一萬多，「小姐姐」也沒了，人財兩空。

這個故事告訴我們

不要在寂寞的夜裡和陌生人聊嗨，容易被「壞人」騙。

其實，這個故事是告訴我們

X男遇上「釣魚網站」啦！

作為普通市民的我們要擦亮「火眼金睛」，保護寄幾和寄幾的錢包。

2018.04.08 晚 19:26

emmmm……這不就是ecshop嘛！

查了一下域名的信息，在whois上查到該貴人的信息。

查了一下ecshop的版本，一個比較老版本的ecshop了，正面杠沒什麼意思，那看看爆mysql吧。

emmmm……隨手一試弱密碼。他喵嗚的！就進去了？？？敢問蒼天饒過誰！

GIF

找到了user表。一看，管理員就出來了於是就登錄了後台

2018.04.08 晚 19:26

這就算拿下了吧？我還加了這個兄dei的扣扣，不知道會不會通過。順手搜了一波ecshop的get shell的方法，找到一個大神的方法，通過修改語言項編輯、用戶信息，插入webshell，成功菜刀連上。

在此期間，仍有人不斷上當受騙

最後我也不知道要怎麼做，交給各位表哥了。

今夜的大事總結成一句話：本通代表月亮，黑進了該釣魚網站

小秀了一波操作，接下來就是本通科普碎碎念時間。保護普通市民，從本通做起。

〖什麼是釣魚網站?〗

釣魚網站（Fishing Website)

釣魚網站通常是指偽裝成銀行及電子商務等網站，以此來騙取用戶銀行或信用卡賬號、密碼等私人資料。一些惡意團購網站或購物網站，假借「限時搶購」、「秒殺」等噱頭，讓用戶不假思索地提供個人信息和銀行賬號，這些黑心網站主可直接獲取用戶輸入的個人資料和網銀賬號密碼信息，進而獲利。

〖如何識別釣魚網站?〗

識別竅門

仔細核對網站域名：釣魚網站一般都是在真網站的域名上做手腳，而且是很不容易發現的那種。For example,把常用的英文字母I換成數字1，把.cn換成.com。

比較網站內容：字體清晰，樣式統一，欄目鏈接有效。釣魚網站的字體一般模糊不清，字體樣式也不一致。網站上沒有鏈接，用戶可以點擊欄目或者圖片中的各個鏈接看是否能打開，如打不開很有可能就是釣魚網站。

查看網站安全證書：此類網站網址都是以」https」打頭的，尤其是涉及輸入密碼等相關界面，表示已加密。如果發現不是」https」開頭，就要提高警惕。

查驗「可信網站」：不少網站已在網站首頁底部放置第三方網站身份誠信認證標識，我們可以通過第三方網站身份誠信認證辨別網站真實性。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！