最近618活动可谓热闹非凡，连一些黑产行业也要来凑热闹。各种钓鱼网站层出不穷，手法变得如此之快！一个源代码改了名字，换了几张图，就成了不法分子的工具。极其嚣张。今天，我代表村子，用一部手机，慢慢揭开这个虚伪的面具！

言归正传。

直接从某个吧搜索钓鱼网站可以获得很多。我们就挑一个吧！

就这毒奶粉！

看看有没有什么可用的。Whois查询知道

都是假信息。查子域名，边站，cms识别(其实cms识别我是没希望的)

Emmmm，这段信息收集是真的，没什么有用的。让我们从另一个角度来看接收文件。

Xxooxx.php，交付方式是post，参数是U和p

我试过xss，后来发现它被过滤了，< & gt会随机转换成其他符号。一个小的钓鱼网站其实是知道如何防范xss的。我钦佩你。

后来查了一下，服务器不是阿里云的，扫描目录得到了备份文件！估计是作弊者偷懒忘记删了。上帝也帮助我！

直接找后台和账号。

解密的md5是

看看这个。

因为源代码太粗糙，你连个壳都弄不出来。穿透在这里。如果你喜欢，请在你走之前给我一个赞。不太好做。谢谢大家！

#网络安全在我身边#