前言
一天我加班到很晚才回家,一打开steam,突然有人加我好友,我欣然接受,没想到这人上来就问我能不能给他投票,我一眼识破这肯定是想盗号啊,果不其然,他发来一个钓鱼网站。这个钓鱼网站是为了模仿5E对战平台,但模仿的非常拙劣。
网址:https://www.5weplay.com
公共资源举报
这个网站做的非常简单,主页面和一个登陆页面,主页面点啥都会让你跳转到登录页面,毕竟是为了盗号嘛,自然是想方设法要你登录。
这个登录界面做的不错(这根本就是拷贝的steam官方登录界面嘛,实则毫无工作量)
整个网站只有一个post请求,就是登录操作,可以说是非常简单了。
大晚上我只想打会儿游戏,只简单的浏览了一下网站,发现它用的大部分图片资源,都是国内一家图片免费托管平台,而且这个平台写明了欢迎举报违法资源,于是我就举报了,没想到迅速得到了反馈~~
这图片托管网站真不错
于是这个钓鱼网站充满了裂图,我想这总没人会被骗了吧~于是快乐的去打游戏了。
压力测试
大约过了一礼拜吧,闲暇中我突然想起这个钓鱼网站,跟同事讨论了一下怎么攻击,但这个网站只有一个post请求入口,属实不好搞,虽然一看就是用的很老的php框架,但sql注入这种攻击早就没啥用了,那好吧,干脆搞最简单的dos攻击呗,俺来给它上上压力测试!
先用fiddler抓包,整个请求非常简单
POST https://5weplay.com/auth.php HTTP/1.1
Host: 5weplay.com
Connection: keep-alive
Content-Length: 37
sec-ch-ua: "Google Chrome";v="89", "Chromium";v="89", ";Not A Brand";v="99"
Accept: */*
X-Requested-With: XMLHttpRequest
sec-ch-ua-mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.90 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: https://5weplay.com
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://5weplay.com/openids/login?openid.ns=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0&openid.mode=checkid_setup&openid.return_to=https%3A%2F%2Fhttps://5weplay.com%2F%3Flogin&openid.realm=https%3A%2F%2Fhttps://5weplay.com&openid.ns.sreg=http%3A%2F%2Fopenid.net%2Fextensions%2Fsreg%2F1.1&openid.claimed_id=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0%2Fidentifier_select&openid.identity=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0%2Fidentifier_select
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: __cfduid=d6df01f69d03726278561f2a25a79af961615814719; timezoneOffset=28800,0; FAKER_clear=40d89620b8fc7bbcbe856044cf3f0a14; 72766ab2b1c85af98adbbb9683600fdf=qqyaf5t47xc4a27; 2dxvogojlcccaa4=ek(.i%3Fg9saxvnym%23jzcw; cc053c564bdd3ff1973e724dfe360370=r9rnsYssGY; c7c5f3f1221e0fd7126c33554239d002=7fba18238ae53605b3a8a20fa6abc399; c29d1ae6e7d2bcdd0378dff39723d745=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%3D%3Dform-data:
doAuth=1&login=terert&password=wwerwq
用jmeter给它上点对抗~
构造好header后,设置一下线程数和循环次数(我这里比较懒,发送的登录信息全是一个,可以自己写个字典遍历一波),
设了10个线程,循环1000次,一共1万次请求,一开始对方服务器还顶得住,没一会儿就全报403错误了……服务崩了,哈哈
后续
估计没多久,对方的服务又会恢复正常,甚至很可能会把我ip拉黑,不过问题不大,我还有两台云服务器,到时候在服务器上攻击它~
进一步的想法,在服务器上,开定时脚本,检测他的服务是否恢复(这个也简单,http code返回200就行),一旦恢复就开始压测……有后续再记录吧
