V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
BlueSky335
V2EX  ›  程序员

发现了几个钓鱼网站,大家有什么想法吗?

  •  
  •   BlueSky335 · 2019-01-11 12:02:39 +08:00 · 6351 次点击
    这是一个创建于 2176 天前的主题,其中的信息可能已经有所发展或是发生改变。

    群里的同学 QQ 号估计是被盗了,有几个人发了几个钓鱼的邮件到群里。 都是仿的 QQ 邮箱,还放得很垃圾。

    昨天尝试用 Python 疯狂提交随机的垃圾账号和密码,然后其中一个过了不久就不能访问了,今天发现又恢复了 大家有啥好玩的想法吗。

    钓鱼网站如下:

    第 1 条附言  ·  2019-01-11 14:09:04 +08:00

    好像钓鱼的人已经把解析换了 附上其中一个服务器的 ip。 服务器用的是 windows server 2003 (够古老的。。。) 103.106.244.16

    我发现他只是把域名解析关了,把域名换成ip,拼上路径还是能访问的。

    比如:

    • http://103.106.244.16/Jhenix/lo/111-emil/M3bu
    第 2 条附言  ·  2019-01-11 14:30:39 +08:00

    附上我用来给他发送垃圾QQ号和密码的Python代码 大家可以拿来随便跑跑,多给他搞点数据😏

    import requests
    import random,string,time,_thread
    import json
    
    def doSomething(threadName,times):
        print(threadName,"\t","第{0}次".format(times),"开始")
        qqnumber = random.randrange(12345678,999999999)
        qqpasslen = random.randrange(8,14)
        t = random.sample('ABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890abcdefghijklmnopqrstuvwxyz.',qqpasslen)
        qqpass = ''.join(t)
        data = {
            "name":'{0}'.format(qqnumber),
            "pass":qqpass,
            "code":"emil",
            "uid":111,
            "tempId":143
        }
        header = {
            "Accept": "application/json, text/javascript, */*; q=0.01",
            "Accept-Encoding":"gzip, deflate",
            "Proxy-Connection":"keep-alive",
            "Accept-Language":"zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7",
            "User-Agent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36",
            "X-Requested-With":"XMLHttpRequest",
            
        }
        r = requests.post("http://103.106.244.16/Jhenix/proxy/quick-login",data=data,headers=header)
        text1 = r.text
        r_data = json.loads(r.text)
        if r_data["Status"] == "ERROR":
            time.sleep(random.randrange(4,10))
            r = requests.post("http://103.106.244.16/Jhenix/proxy/quick-login",data=data,headers=header)
            text2 = r.text
            print(threadName,"\t","第{0}次".format(times),"\t", data,"\t",text1,"\t",text2)
        else:
            print(threadName,"\t","第{0}次".format(times),"\t", data,"\t",text1)
    
    def do100times(threadName):
        for i in range(0,10000):
            doSomething(threadName,i)
        
    for i in range(0,10):
        try:
            _thread.start_new_thread(do100times,("线程:{0}".format(i),))
        except:
            print("创建线程失败")
    
    while 1:
        pass
    
    
    
    41 条回复    2019-02-13 17:20:28 +08:00
    ww23xx
        1
    ww23xx  
       2019-01-11 12:27:23 +08:00 via Android
    昨天原来就是你搞的啊,记载小本本上了。(。•ˇ‸ˇ•。)
    BlueSky335
        2
    BlueSky335  
    OP
       2019-01-11 12:36:10 +08:00 via Android
    @ww23xx 😏
    wqjdzh
        3
    wqjdzh  
       2019-01-11 13:12:56 +08:00
    一个能打开的都没有
    wulu
        4
    wulu  
       2019-01-11 13:13:52 +08:00 via Android
    没一个能打开的
    wulu
        5
    wulu  
       2019-01-11 13:14:16 +08:00 via Android
    python 提交的有源码吗
    zaqzaq0125
        6
    zaqzaq0125  
       2019-01-11 13:17:17 +08:00
    挂了?
    wsstest
        7
    wsstest  
       2019-01-11 13:21:37 +08:00
    一个能打开的都没有+1
    yuanshuai1995
        8
    yuanshuai1995  
       2019-01-11 13:45:59 +08:00
    我第二个能打开
    BlueSky335
        9
    BlueSky335  
    OP
       2019-01-11 13:49:54 +08:00
    中午的时候还能打开😂
    @wqjdzh
    @wulu
    @zaqzaq0125
    @wsstest
    @yuanshuai1995
    tankren
        10
    tankren  
       2019-01-11 13:54:02 +08:00
    全部都打不开
    BlueSky335
        11
    BlueSky335  
    OP
       2019-01-11 13:58:43 +08:00
    好像钓鱼的人已经把解析换了
    附上其中一个服务器的 ip。
    服务器用的是 windows server 2003 (够古老的。。。)
    103.106.244.16
    geying
        12
    geying  
       2019-01-11 14:17:28 +08:00
    这个界面也太糊了吧,,,
    xiadong1994
        13
    xiadong1994  
       2019-01-11 14:18:41 +08:00
    http://103.106.244.16/Jhenix/upload/20190104012209.jpg
    除了登录框,其他的就整个是张背景图……
    BlueSky335
        14
    BlueSky335  
    OP
       2019-01-11 14:31:18 +08:00
    @wulu 我把代码贴上来了
    anmaz
        15
    anmaz  
       2019-01-11 14:45:23 +08:00
    关键还是美图秀秀截的图
    bearqq
        16
    bearqq  
       2019-01-11 15:13:24 +08:00 via Android
    _thread.start_new_thread
    就算简单写写也建议换成 threading 的实现
    zhila
        17
    zhila  
       2019-01-11 15:14:10 +08:00
    全是图片,这个仿的太不走心了吧...
    Yiki
        18
    Yiki  
       2019-01-11 15:32:25 +08:00
    仿得好差...
    megamilk
        19
    megamilk  
       2019-01-11 15:41:49 +08:00
    别人费劲心机的在那招摇撞骗,懂技术的知根知底搁那笑而不语并时不时的找个漏洞给补两枪,大佬,这波骚操作小弟佩服
    PEIENYKYK
        20
    PEIENYKYK  
       2019-01-11 15:43:40 +08:00
    谢谢代码分享
    JKeita
        21
    JKeita  
       2019-01-11 15:48:15 +08:00
    密码再搞得真一点。
    BlueSky335
        22
    BlueSky335  
    OP
       2019-01-11 15:49:36 +08:00
    他的服务器的远程登录端口没关,windows 远程桌面能链接上去,有没有办法破解一下服务器密码?😏
    Pi7bo1
        23
    Pi7bo1  
       2019-01-11 15:57:00 +08:00
    吃瓜
    supuwoerc
        24
    supuwoerc  
       2019-01-11 16:05:42 +08:00
    全员恶搞 lei 了 哈哈
    catalina
        25
    catalina  
       2019-01-11 16:27:29 +08:00
    @BlueSky335 THC-Hydra 可解,虽然我并不抱希望,因为不知道它有没有。
    And:
    虽然已经打不开了。。。
    建议加一个随机 ua 的功能,老是一个 ua 搞事容易被人家一批排除掉吧?
    而且最好用的是手机浏览器或手机 QQ 各种版本的 ua 而不是电脑浏览器的 ua (滑稽)
    在此献上一枚:
    Mozilla/5.0 (Linux; Android 8.1 <手机型号字串> Build/***1.171019.011; WV) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/57.0.2987.132 MQQBrowser/6.2 TBS/044404 Mobile Safari/537.36 V1_AND_SQ_7.8.2_926_YYB_D QQ/<7.8.2.3750> NetType/<WIFI/2G> WebP/0.3.0 Pixel/720 StatusBarHeight/60
    使用<>括起来的可以替换。
    需要注意的是:其中 NetType 类仅包含 WIFI 和 2G 两个选项,无论是 2G、3G、4G,在 apache2 的 access 日志里显示的全都是 2G。
    不过说起来咱倒是无所谓的啦,这个人弄个钓鱼网站也弄得那么烂,大概技术也不会有多高就是咯。
    catalina
        26
    catalina  
       2019-01-11 16:40:54 +08:00
    补全:
    不知道它有没有修改登录的账户名并把 administrator 禁用掉。
    最近老是写着写着忘掉一半 orz
    BlueSky335
        27
    BlueSky335  
    OP
       2019-01-11 17:03:23 +08:00 via iPhone
    @catalina 哈哈哈,这个钓鱼网站能玩一年
    dreamweaver
        28
    dreamweaver  
       2019-01-11 17:21:54 +08:00
    dosomething 可还行
    MaxTan
        29
    MaxTan  
       2019-01-11 17:31:27 +08:00
    一发 DDos 让它升天
    sdijeenx
        30
    sdijeenx  
       2019-01-11 19:52:11 +08:00
    端口扫描结果,3389 端口暂时还没关=3=
    Port Scan has started …

    Port Scanning host: 103.106.244.16

    Open TCP Port: 80 http
    Open TCP Port: 3389 ms-wbt-server
    Open TCP Port: 47001
    Open TCP Port: 49152
    Open TCP Port: 49153
    Open TCP Port: 49154
    Open TCP Port: 49155
    Open TCP Port: 49156
    Open TCP Port: 49163
    sdijeenx
        31
    sdijeenx  
       2019-01-11 19:55:07 +08:00
    Starting Nmap 7.70 ( https://nmap.org ) at 2019-01-11 19:51 CST
    Nmap scan report for 103.106.244.16
    Host is up (0.075s latency).
    Not shown: 975 closed ports
    PORT STATE SERVICE
    19/tcp filtered chargen
    53/tcp filtered domain
    80/tcp open http
    111/tcp filtered rpcbind
    135/tcp filtered msrpc
    139/tcp filtered netbios-ssn
    389/tcp filtered ldap
    445/tcp filtered microsoft-ds
    593/tcp filtered http-rpc-epmap
    901/tcp filtered samba-swat
    1068/tcp filtered instl_bootc
    1900/tcp filtered upnp
    3128/tcp filtered squid-http
    3333/tcp filtered dec-notes
    3389/tcp open ms-wbt-server
    5800/tcp filtered vnc-http
    5900/tcp filtered vnc
    6129/tcp filtered unknown
    6667/tcp filtered irc
    49152/tcp open unknown
    49153/tcp open unknown
    49154/tcp open unknown
    49155/tcp open unknown
    49156/tcp open unknown
    49163/tcp open unknown

    Nmap done: 1 IP address (1 host up) scanned in 25.39 seconds
    looseChen
        32
    looseChen  
       2019-01-11 23:19:25 +08:00
    讲道理现在 qq 不是有设备验证吗?密码拿去了也没啥用把
    mmdsun
        33
    mmdsun  
       2019-01-11 23:44:06 +08:00 via Android
    @BlueSky335 03 漏洞很多的。找漏洞黑进去
    leetom
        34
    leetom  
       2019-01-12 00:03:18 +08:00
    我碰到这种一般都是提交一堆 “骗子死全家”
    catalina
        35
    catalina  
       2019-01-12 00:38:15 +08:00
    @mmdsun
    @BlueSky335
    不知道为啥,已经不是 server 2003 了,刚试了一下 mstsc 过去,直接弹出凭据输入框了:
    https://s2.ax1x.com/2019/01/12/FjPPaD.png
    这让我惊了一下。因为据我所知,server2003 的登录界面是接受连接,然后在远程界面输入用户名和密码的,像这样:
    https://imgsa.baidu.com/exp/w=480/sign=559b6788bb389b5038ffe15ab534e5f1/6d81800a19d8bc3ed27f7b5c808ba61ea8d34534.jpg
    看一下这张图,我用 xp sp2 的 mstsc(因为 xp 的 mstsc 没更新过就没有本地凭据输入功能)登过去看,服务器已经变成 server 2008 r2 enterprise 了。。。
    https://s2.ax1x.com/2019/01/12/Fj9GkQ.png
    我有点怀疑这台服务器是不是被盗号者重装了、或者被收回卖给其它用户了,所以各位,在弄清楚前,最好还是不要急着动手搞了吧。。。
    passerbyb
        36
    passerbyb  
       2019-01-12 01:19:21 +08:00
    老早就有这玩意了 https://s2.ax1x.com/2019/01/12/FjisAS.jpg
    那时候还是个: http://dajie.tnyxw.cn/mail (别访问现在是跳转到广告)
    非常猖狂 域名里就有“打劫”
    和楼主的系统一模一样 熟悉的 iis
    pengwen
        37
    pengwen  
       2019-01-12 21:17:44 +08:00 via Android
    @passerbyb 点了第二个链接,幸好旁边没人,吓我一跳
    catalina
        38
    catalina  
       2019-02-12 15:03:01 +08:00
    有个新的钓鱼网站,求大佬给个脚本:
    http://www.sdgznn.xyz/zhaohuan/index.php
    顺带一提这货竟然还开了 Cloudflare,收入要跟不上成本了嗷...

    这是 Fd 的截图:
    https://s2.ax1x.com/2019/02/12/kdHtBT.png

    这是 POST 请求的原始数据:
    POST http://www.sdgznn.xyz/shzz.php HTTP/1.1
    Host: www.sdgznn.xyz
    Connection: keep-alive
    Content-Length: 40
    Cache-Control: max-age=0
    Origin: http://www.sdgznn.xyz
    Upgrade-Insecure-Requests: 1
    Content-Type: application/x-www-form-urlencoded
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.96 Safari/537.36
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
    Referer: http://www.sdgznn.xyz/zhaohuan/index.php
    Accept-Encoding: gzip, deflate
    Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
    Cookie: __cfduid=d2c620c1f7d51db5f25177058eedd67ad1549953151; PHPSESSID=s1ihq2h5lc79oin9gp9ocquth7; pgv_pvid=3105476176; pgv_info=pgvReferrer=&ssid=s9559103325; ts_last=www.sdgznn.xyz/zhaohuan/index.php; ts_uid=2846290358; ied_rf=www.sdgznn.xyz/zhaohuan/index.php

    u=1029385028&p=fuckyou%21%21%21&bianhao=

    我输入的账号是"1029385028",密码"fuckyou!!!",我不知道哪来的 bianhao
    BlueSky335
        39
    BlueSky335  
    OP
       2019-02-13 10:57:05 +08:00   ❤️ 1
    @catalina 表单中有一个隐藏的 Input 标签,name 是 bianhao,这个做得还真像。输入密码账号之后还跳转了官网。

    我修改了一下之前的代码,post 请求好像不管传啥参数都是返回的 200,然后跳转官网,技术有限,不是专门搞这一块的,所以不知道有没有成功。


    import requests
    import random,string,time,threading

    lock = threading.Lock()

    def doSomething(threadName,times):
    lock.acquire()
    print(threadName,"\t","第{0}次".format(times),"开始\n")
    lock.release()
    qqnumber = random.randrange(12345678,999999999)
    qqpasslen = random.randrange(8,14)
    t = random.sample('ABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890abcdefghijklmnopqrstuvwxyz.',qqpasslen)
    qqpass = ''.join(t)
    data = {
    "u":'{0}'.format(qqnumber),
    "p":qqpass
    }
    header = {
    "Accept": "application/json, text/javascript, */*; q=0.01",
    "Accept-Encoding":"gzip, deflate",
    "Proxy-Connection":"keep-alive",
    "Accept-Language":"zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7",
    "User-Agent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36",
    "X-Requested-With":"XMLHttpRequest",

    }
    r = requests.post("http://www.sdgznn.xyz/shzz.php",data=data,headers=header)

    lock.acquire()
    if r.status_code == 200:
    print(threadName,"\t","第{0}次".format(times),"\t", data,"\t","成功\n")
    else:
    print(threadName,"\t","第{0}次".format(times),"\t", data,"\t","失败\n")
    lock.release()


    def do100times(threadName):
    for i in range(0,10000):
    doSomething(threadName,i)


    for i in range(0,10):
    try:
    t = threading.Thread(target=do100times,args=("线程:{0}".format(i),))
    t.start()
    except:
    print("创建线程失败")

    while 1:
    pass
    BlueSky335
        40
    BlueSky335  
    OP
       2019-02-13 11:00:38 +08:00   ❤️ 1
    @catalina 妈耶,回复格式全乱了,对于 Python 简直是灾难。(=_=)居然不能删除评论?
    catalina
        41
    catalina  
       2019-02-13 17:20:28 +08:00 via Android
    @BlueSky335 谢谢,已发感谢
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3114 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 13:32 · PVG 21:32 · LAX 05:32 · JFK 08:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.