初体验

今天无意间在群里看到一条链接,标题为“我店明日开业”点进链接发现是虚假活动,闲着无聊对这个站点进行了一波信息收集。

使用dirmap进行目录扫描。不过都是一些无用的信息。

在返回的时候被网站跳转的域名吸引去了眼球。xxxx.shandong.gov.cn 这是用政务网站做重定向的吗,复制链接并访问。没错是通过这个做重定向的,顺手给反馈纠错。

接着查了一下这个站点的whois发现一些有价值的信息,域名所有人以及邮箱如下图
image

反查看到同一人在不同的服务商注册的各种域名,或者是直接买到已经备案的域名。在列表里看到一个比较显眼认为比较有价值的域名,访问一下,跳转到另外的站点,同样是虚假活动。仔细看一下注册时间这一批域名的注册时间都在2021年11月20日左右。

当时脑子就蒙了,这不是一站群吗,虽然不多,但也有十多个,放弃搜集了。

在全球ping对一个主域名做了查询,发现套了cdn。在真实ip查询到是浙江温州的一处IP43.xx.xx.106,又对其他站点进行了批量扫描发现都套有cdn,不过功夫不负有心人查到了一个在阿里云数据中心的IP139.xx.xx.239。用nmap对这两个ip进行扫描发现浙江温州的IP开放了8888端口,使用过宝塔面板的都清楚这是宝塔面板的默认端口,可以访问但是不清楚安全入口,也懒得去扫描。

image

在nmap看到IP43.xx.xx.106Running:Actiontec embedded, Linux 这是一个嵌入式设备。在钟馗之眼看到了网络运营商ChinaTelecom以及坐标,具体在哪嘛,这肯定是不能发出来的咯。
image

体验到这里就结束了,以为会有些什么不一样的信息,不过这也算是一个小小的实战了。

彩蛋

在页面点击关闭会跳转到另外的小说站点,不过还没有深入探究。

免责声明:

本次测试过程完全处于本地或授权环境,仅供学习参考与技术讨论,严禁用于非法途径。文中提及的漏洞均已提交并修复。若读者因此作出任何危害网络安全的行为后果自负,与原作者无关。

未经授权,不得转载