前言

某天，一个朋友突然发来一个截图，说是钓鱼邮件，我大致瞄了一眼，很经典的二维码钓鱼，正巧那两天比较闲，想起周末才看得电影《孤注一掷》，决定挖挖这个钓鱼的家。

眼熟的favicon

首先，我也不敢直接拿手机扫这个码，用在线二维码解码看了下，解出来是个url：http[:]//www[.]piiuwyd[.]ink，稍微上微步搜了下，什么东西都没有。不入虎穴焉得虎子，我拿起了手机扫码，打开的是一个子域名网站，乍一看很真啊。

这个favicon很眼熟，我左思右想，想了半天，最后终于想到了，freebuf！

当然这个favicon和freebuf没有半毛钱关系，只是比较像罢了。

接下来我上fofa、quake、hunter各搜了一遍，相同favicon的站点不少，可是没有识别出来框架。

举一反三

我没有对目标站进行什么测试，只是稍微扫描了下，没有发现好东西。相反，我拉了一部分同指纹站点进行渗透，这部分也是钓鱼站点，为什么这么说呢，因为可以很明显的看到，它的标题、内容都不一般。

一波扫描，爆出admin路由，一个经典的登陆框开局。

一般来说接下来是一波爆破，但是我没有，因为我个人比较倾向于找到这个网站的框架，在翻了n个同指纹站点后，无果，但出现最多的一个单词是openbms，但这个单词的跳转链接已经在出售域名，在网上搜索这个模板，在TP的论坛找到了如下内容，奈何所有链接都已经删的删，关的关，拿不到更多信息。

弱口令yyds

古人云，网络安全最大的风险在于人。

一波admin/123456进了后台。

功能演示

接下来，我将图文并茂得演示下这个钓鱼平台的功能，虽然这种钓鱼我在互联网搜寻到的最早时间是2021年（没有刨根问底），但被骗可是不分时间的。

信息获取之个人身份敏感信息

首先是索取姓名、身份证，在以前，这妥妥的是个人身份敏感信息，但随着互联网发展，在某些app、网站、小程序不给出这部分信息可能连基本功能都用不了。

防止被诈骗，首先需要对个人信息足够重视，遇到索要自己信息的地方，多留个心眼，比如这里的域名，咱互联网从业者不用多说，其他行业的人需要记住gov.cn这个东西才能代表国家。

信息获取之银行卡敏感信息

点击下一步，到如下这个界面。

点击开始办理，进入如下更离谱的界面。这个站的手段确实不太ok，试问2023年了，哪个地方会问你账户余额这种东西，俗话说事出反常必有妖，这也是引起我们留意的点。另外就是银行卡号、交易密码这部分，也是引起我们留意的另外一个点。

信息获取之等我去取钱

点击下一步，就会进入一个等待界面，如下图，左边是被骗端，右边是后台也就是骗人端，红色框住的部分是我们刚刚填写的信息。

在骗人端，可以对被骗端发送消息，也就是等待校验的结果，这段时间，可以无限长，足够骗子去进行金钱交易，具体的手段我无法给大家介绍了，因为我也不懂。

下面是gif演示。


文件上传

功能摸清楚了，该getshell的还是得get，后台有个文件上传，没有对后缀php过滤，轻松到手，拖下源码，发现是TP5.0.24的，一共有三种骗术，一种是刚刚的社保界面，第二种是ETC的。

最后一种是医保的。

over

• 认准gov.cn
• 不要乱扫码
• 寻求身边懂计算机的朋友