钓鱼网站渗透测试实战教学文档

1. 目标识别与初步分析

目标网站：http://gggggg.cn (示例域名，已替换)

网站性质：QQ账号钓鱼网站，通过"立即申请取消"按钮诱导用户输入QQ账号密码

技术栈识别：

• 服务器：Linux + Nginx
• 编程语言：PHP 5.4.45
• 控制面板：宝塔面板
• 前端框架：jQuery

2. 信息收集阶段

2.1 目录扫描

使用dirsearch工具扫描网站目录，发现以下关键接口：

• /save1.php (账号密码提交接口)
• /xxxxxx_login.php (疑似后台登录接口)

2.2 指纹识别

使用云悉Web指纹识别系统确认：

• PHP版本：5.4.45
• Web服务器：Nginx
• 操作系统：Linux
• 控制面板：宝塔

3. 漏洞发现与利用

3.1 SQL注入漏洞

漏洞位置：/save1.php

请求示例：

POST /save1.php HTTP/1.1
Host: gggggg.cn
Connection: close

u=12345&p=1*

测试过程：

1. 使用sqlmap初步测试，发现存在注入但被宝塔WAF拦截
2. 手动测试成功获取以下信息：
   • 当前数据库用户
   • 数据库版本
   • 当前数据库名
   • 表名信息

3.2 Google Hacking

使用inurl:xxxxxx_login.php语法搜索，发现大量相同架构的网站，扩大测试范围。

3.3 Git信息泄露

在对同类网站测试中发现：

1. 存在.git目录泄露
2. 还原的代码不完整，但包含重要信息：
   • 网站后台路径
   • 数据库备份文件（包含管理员账号密码）

4. 后台访问与数据获取

通过发现的数据库备份文件获取管理员凭证，成功登录后台，发现大量被盗QQ账号数据。

5. 权限提升尝试

5.1 Web应用漏洞

1. 审计部分源代码，未发现文件上传等高危漏洞
2. 测试后台功能，未找到可写shell的途径

5.2 服务器层面测试

1. 获取真实IP（通过https://get-site-ip.com等工具）
2. 对IP进行端口扫描
3. 对开放服务进行爆破测试
4. 未发现可利用漏洞

6. 渗透测试总结

成功利用的漏洞：

1. SQL注入（部分信息获取）
2. Git信息泄露（获取后台路径和管理员凭证）

防御建议：

1. 修复SQL注入漏洞
2. 移除.git目录或配置服务器禁止访问
3. 不要将数据库备份文件放在Web目录
4. 升级PHP版本（5.4.45已停止支持）
5. 加强WAF规则
6. 使用更复杂的后台路径
7. 定期更换管理员密码

7. 技术要点总结

1. 信息收集是关键：通过目录扫描、指纹识别和Google Hacking扩大攻击面
2. WAF绕过技巧：当自动化工具被拦截时，手动测试可能成功
3. 横向渗透思路：当主站防护较强时，测试同类站点可能发现突破口
4. 源码泄露危害：.git泄露可能暴露敏感信息和后台路径
5. 数据库安全：备份文件不应存放在Web可访问目录