周末收到了封钓鱼邮件,还带上了附件HTML文件“来自教务处《综合成绩单》详情登陆邮箱查询”

本地打开是一个QQ登陆界面,浏览器和管家并不能识别出是一个假冒网站。部分源代码如下

var hasShown = getCookie('guide2');
    var refer = document.referrer || '';
    var url = location.href;
    /*弹出逻辑:手动输入网址:refer空或等于https://m.mail.qq.com*/
  //  if(refer && refer != 'https://m.mail.qq.com/' && refer != 'https://m.mail.qq.com'){
  //      hasShown = true;
  //  }
    //活动页干掉
    if(refer && refer.indexOf('qzs.qq.com')>0){
        hasShown = true;
    }
    //微信,qq干掉
    if(url.indexOf('5758')>0 || url.indexOf('5757')>0){
        hasShown = true;
    }else if(url.indexOf('6456')>0 || url.indexOf('17636')>0 || url.indexOf('17615')>0 || url.indexOf('22578')>0 || url.indexOf('22174')>0){
        hasShown = true;
    }
    //MSIE也不展示
    var ua = navigator.userAgent;
    if(ua.match(/MSIE/)){
        hasShown = true;
    }
    if(ua.indexOf('MicroMessenger')>0){
        hasShown = true;
    }
    if(!hasShown){
        $('guide').style.display = '';
        if(navigator.connection && navigator.connection.type == '2'){
            $('guideBG').setAttribute('class','wifi');
        }
        var close = function(){
            setCookie('guide2', '1', ".ui.ptlogin2.qq.com", "/", 7*24);
            $('guide').style.display = 'none';
        }
        on($('guideSkip'),'click',function(){
            close();
            pv('m.qzone.com','/guide_toWeb');
        });
        on($('guideJump'),'click',function()   
        });
        pv('m.qzone.com','/guide_show');
    }
})();

提交账号密码后会Post到http://45.119.117.164/cert/facai19. php

开始压力测试

从Post请求中提取相关信息

[
    {
        "method": "POST",
        "url": "http://45.119.117.164/cert/facai19.php",
        "requestHeaders": [
            {
                "name": "Upgrade-Insecure-Requests",
                "value": "1",
                "$$hashKey": "object:152"
            },
            {
                "name": "Origin",
                "value": "null",
                "$$hashKey": "object:153"
            },
            {
                "name": "Content-Type",
                "value": "application/x-www-form-urlencoded",
                "$$hashKey": "object:154"
            },
            {
                "name": "User-Agent",
                "value": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36",
                "$$hashKey": "object:155"
            },
            {
                "name": "Accept",
                "value": "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3",
                "$$hashKey": "object:156"
            }
        ],
        "requestBody": "pass=gansini&submit=&user=123456789"
    }
]

使用华为云云性能测试(免费10000VUM)-测试工程-打开json/手动添加工程

你可以在Body中填写你想提交的内容(Pass和User后面),如果没waf和长度限制可以尝试Post注入

填写完请求信息后在右侧进行调试,结果栏会显示请求是否成功

取消调试,设置压测阶段。视网站情况设定,这类钓鱼站点100并发-1000次请求就够了。

除此使用高并发的Get请求可以测试自己站点的性能(请勿用于网络攻击!不可以!


生活就是一边选择一边放弃要有遥不可及的梦想也要有脚踏实地的力量