事情是这样：

首先是我一个朋友来告诉我 被盗号了

过了两天 另一个朋友也来告诉我 被盗号了

(相关资料图)

我就觉得好离谱

然后我就分析了一下

地址：http://qqacsw.***.cyou/wen/

长这样：

可以看出是一个伪装成腾讯文档的页面，用户输入QQ和密码就会被上传到服务器，进而完成盗号

首先分析一下源码：

可以看到，主要部分就是这里

获取用户输入 然后通过status.php的add action把用户名和密码提交上去，同时还附带有设备信息

首先我们可以创建一个脚本来高频添加数据：

这里我会从110, 911, 999中随机选一个作为QQ号码，然后那几句脏话中随机选一个作为密码上传。

可以看到我第一个请求的id就已经是42了，说明今天这个人已经钓了42条鱼了，事不宜迟，挂在后台先继续添加捣乱的数据，然后我们继续试一试进一步更彻底的摧毁。

首先用nmap扫描一下端口

可以看到他开了远程桌面端口

首先尝试用弱口令连一下

简单尝试了几下，发现常用的root, admin等弱口令无效

不过可以继续试着再用metasploit找一下漏洞

首先是比较经典的cve_2019_0708漏洞

试着先扫描一下存不存在这个漏洞

发现The target is vulnerable那还废话什么，直接开干

结果不太行：

估计系统是2008，而根据GitHub上issue的反馈

这个模块好像不是100%可靠的

最后我调整了GROOMSIZE，调到了300M

结果服务器挂了

附上chinaz上检测的结果，来证明不是我被屏蔽了，而是服务器挂了

过了一会儿又活了

看来应该是错误导致重启

后台挂个cve-2019-0708的脚本 可以让他无限重启 笑死了

后面又打了几次，发现这次一直timeout了，不知道是windows频繁蓝屏导致问题还是他自己把网站关了

不过, 任务结束。

其实还有一种思路sql注入，切入点有两个：

上传用户名和密码的接口

这个接口有三个地方有可能：

http://qqacsw.***.cyou/status.php?action=add&u={第一个}&p={第二个}&system_str={第三个}

他伪造的加载接口

http://qqacsw.***.cyou/wen/loading.php?action=shoy&id=这个id是在上传完用户名和密码后返回的，应该是根据用户上传的system_str判断用户的入口，然后跳转到对应的界面骗用户误以为登陆失败，比如跳转到钉钉和腾讯文档首页的

反正也访问不了了 先鸽了，有机会再试试

最重要的 还是大家加强防护意识

最关键的是检查域名是否为腾讯官方的

关键词：