实战 | 一次报错页面搞定zfb钓鱼网站

文章预览

起因 事情是这样的，站长正在无聊的hw看waf中，然后收到一份评论邮件，如下图： 当时看到的时候也没在意，然后这个人就加了我的群，在群里说明了一下，说这个骗了挺多人了，然后就发出了目标的网址，我就抱着无聊的心态随手打开看了下 ，就开始了测试== 开始 1.随手打开目标站点，界面还做的挺逼真的，如下： 随手就开始基础的渗透测试流程~什么信息收集，目录扫描等等就不放出来了，反正基本啥东西都没搞到~ 2.随手打开burp，尝试抓取登录的包，然后发现后端是python (基本很少遇到)写的~ 温馨提示 既然是个钓鱼页面，肯定是收集信息的网站，所以一般我们都会尝试xss盲打，这里打了一下，但是没成功 3.接着继续测试，然后出现了一个突破口，一个报错页面，应该是后端不允许发送空值，然后就异常报错了，而且django的debug没有关闭 。 （ ………………………………