0x0 背景

福無雙至、禍不單行。本來是風和日麗的天氣，白帽子在工地認真搬磚然後被一些所謂的負(dou)責(bi)人懟了，心裡感覺到很委屈。準備下班之際莫名其妙收到了一封QQ郵箱彈窗點開一看直覺就是"這貨有毒"。

0x1 過程

新學期課程表安排通知，感覺還是比較有針對性的，想一想自己前段時間加入一些考研群的，目測就是這些群裡面的人吧。話不多說，就開啟burpsuit看看通訊過程。

一訪問這個域名就直接跳到一個頁面

 http://o.a.jjnt.win/1.php?_wv=886?oNgf

直接就讓我輸入QQ號碼和密碼、然後我就輸了一下抓包顯示還是明文傳輸。

一共需要提交三個欄位的變數：ip user pass

處理的PHP是456fghfghjkdg415646.php

然後對這三個變數測試了一番，安全性還做的挺好的常見的攻擊方式都被過濾了。

準備看看有沒有其他互動內容，根目錄下面還有一個robots檔案，也沒有太大用處。

算了，還是換成正常字元走一下流程。輸入之後直接就跳轉到了QQ主頁。

0x2 其他查詢

上VT和微步都查詢了這個域名，未發現異常。

查詢了一下這個網站的域名註冊資訊，發現是一家叫成都西維數碼科技有限公司的網際網路服務商，提供VPS、域名註冊等業務。

0x3 總結與建議

1.就只做到這裡了本來還想反滲透給他發個Client後門交個朋友的，想想還是罷了。

2.雖然技術含量很低，目測很多安全意識差的人還是會中招吧，對於輸使用者名稱密碼的地方一定要慎重、慎重再慎重，看清楚。

3.想了一下對於這種釣魚郵件只有一個域名又沒有威脅情報的，該怎麼去檢測識別以及防禦呢？？？？