注意，你注册的假1024可能就是它

　　近年来，随着信息技术的迅猛发展，网络已经成为我们生活不可或缺的一部分。网络小芬给我们带来方便快捷的同时，也成为诈骗犯罪的温床，不发分子利用网友的好奇心理，制作上线钓鱼网站诱骗消费者。钓鱼网站是不法分子尽心网络诈骗的主要手段之一。

　　

　　今天讲的就是一次对钓鱼***到社工的经历

　　废话不多说 看图跑进来的请认真看 记好笔记

　　目标站 http://www.caoliu10240.com/

　　1024大家并不陌生把 没错今天说的就是一个草榴的钓鱼网站，网站是假的，可收集你个人帐号和密码信息确实真的!

　　

　　点击任何东西都要你注册 抱着激动的心情我们注册一个试试，然而注册完了需要你交钱成为vip才能给你看，或者还有一个办法就是要你推广到各个群

　　要有是个人通过你的邀请连接注册了那么你就能不用交钱成为会员，我相信大部分人都会选择丢到个大群让别人去注册把，然而就算通过你的邀请连接注册了上百人上万人你也根本不会成为那传说中的SVIP

　　然而这并没有什么卵用，他们的目的就是为了收集你的帐号密码，然后通过你发送的邀请连接收集跟多人个人账户密码，滚雪球一样，没有限制，也没有终点!

　　

　　下面就是日战环节 国际惯例随手试了一个admin找到了后台 熟悉的界面

　　良精南方cms

　　

　　直接利用越权添加账户密码漏洞添加一个管理员 然后我们进入后台看看把。

　　

　　阉割版 试了几种那shell方法就不成功 编辑器组建被删除 上传点被删除 网站配置没敢插 怕插坏了配置线面工作就没法干了 继续看：

　　

　　截止到昨天就有10000+用户的信息被收集 用户名 密码 邮箱

　　既然搞不定shell 那么我们就搞管理员了

　　通过whois信息查询到邮箱一枚