记一次对钓鱼网站的渗透

怎么说呢 一开始我从一个群里看到了钓鱼网站 然后抱着试一试的心态去查后台 结果查到了，特别激动 试着注入，发现有回显，判断有漏洞 结果自己智障了，用了万能用户名忘了输密码，注入失败 被学长@Mio-web提点才发现 进入后台发现安全极差，记录的用户密码全部明文保存，我默默地删掉的 而且任何人都可以删除或创建管理员 我把管理员换掉了 网站通过几个人（网站称广告手）到各个地方发链接诱骗人点击并登陆QQ 每个人发的网址有不同的id后台记录每个人推广数（估计用来提成的） 网页是这样的（上方的提示是后台的截图不是克隆网站的）克隆得特别像 涉及一个左手倒影的人 这个人申明是这样 但是却真的在收集QQ 截止到我删除，这个网站一天之间收集了百多个QQ和密码 神TM居然明文保存 好像他还做了各种腾讯游戏的克隆网站都是同一个IP 所以我推测这个服务器就是个钓鱼服务器 但是他服务器的8888端口好像有防爆破，会记录IP，同一个IP只能试五次 又发现好像是本地验证，可以试试burpsuite挂代理抓包改包 那么问题来了,burpsuite 英文界面实在不友好 所以我滚去学习了 以后有再补充 P.S. 这估计是中国互联网诈骗黑产的一角