# 資安實作-駭進中國蝦皮釣魚網站 :::warning ==本文僅做於教育使用，不得用於非法用途== 根據中華民國刑法 第 358 條 無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞，而入侵他人之電腦或其相關設備者，處三年以下有期徒刑、拘役或科或併科三十萬元以下罰金。 第 359 條 無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。 第 360 條 無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備，致生損害於公眾或他人者，處三年以下有期徒刑、拘役或科或併科三十萬元以下罰金。 第 361 條 對於公務機關之電腦或其相關設備犯前三條之罪者，加重其刑至二分之一。 ::: ## 前言 這個網站我同學家人的IG被盜用,然後再傳送給我同學的一個連結,可真是社交工程攻擊中的社交工程攻擊 ## 網站內容   （連後台也在彷微信,此站牛而逼之） ## 偵查 在任何的資安攻擊中,首要做的事都是『偵查』,所以首先我們先來對這個網頁進行偵查（我一開始是不知道有後台的）  我這裡是先使用dirbuster,畢竟這個網頁從網址列一看就可以感受到漏洞之多,用dirbuster應該也不會被抓到,然後我這裡看到一個index.php  果然，找到後臺了 ## 入侵 找到後臺又看見帳號密碼，那就表示可以開始入侵了  在此我先使用burpsuite去看我發送帳密的封包長甚麼樣子，以便我接下來使用sqlmap  接下來我使用sqlmap偵查pass的這串變數是否可以注入到遠端伺服器  結果是可以的，漏洞一堆  接下來就可以直接拿到網站的所有資料了!   先看看有那些tables，再選擇要把那些資料dump出來  ## 結果 本來不是要進去後臺，結果最後卻沒進去?? 就是因為我太粗心了，後台的帳密其實在lotadv_config.csv裡，但我卻沒看到..........，實在太大意了 ## 心得與反思 從我開始接觸資安，到現在也有一年的時間了，我也開始有能力可以去攻擊一些網站，但是這次我成功攻擊之後，卻粗心落掉了可以拿到帳密的機會，現在就無法再挽回了。後來仔細想想為什麼我那時候會漏掉看那個表單呢?原因應該最主要還是我的實作經驗不足。我到現在也沒有攻擊成功過其他網站，這是我唯一一次成功的。 但是最近在打CTF，發現到web的題目有越來越多不同的題型，其中也包括許多XSS跟SQL的注入攻擊，也就是我這次自主學習在做的事情，希望之後可以靠多打CTF來增加相關經驗，讓以後的攻擊都可以成功，不會像這次一樣因為自己的大意功敗垂成。 另外我在攻擊網站時發現，這是一個從掏寶賣出去的網站，本來的用意是讓淘寶那些賣家可以辦一些抽獎活動，最後卻被這種人拿來變成社交工程詐騙， 十分地不可取，也證明了在我們生活周遭處處都是資安的風險，平常就應該好好地預防，小心查證各個網站的真實性。 再來則是我在做這份自主學習中使用到的工具SQL map，它是一套全自動的工具，這工具是由一位工程師所寫出來的，後來被我們這些常作資安的人大量地使用，也因為有了他的這份工具，我們才有辦法去攻擊別人的網站，或者是替別人的網站進行漏洞測試，這些都是前人種樹，我們後人乘涼享受的結果，因此在未來有能力之後，也應該要繼續創作這些自動化工具，以前別人幫助我們，我們也應該幫助我們的後人，才可以讓全世界資安的環境越來越好、越來越安全。