手把手教你肢解钓鱼网站

引言

前些日子，一位大学老师的QQ被盗了，导致群发教育网站的链接，其中竟然还有一位同学中招！看来大家对钓鱼网站还不够警惕，就借这次机会，给大家展示一下钓鱼网站是怎么骗人的。撰写本文的想法也是源于郭燕老师的委托，再次向这位负责的老师表达一下敬佩之意。

场景回顾

首先，需要有一个被盗者的QQ向你发送一个钓鱼网站的链接，出于保护老师的个人隐私，我就不截图了，反正呢，就是收到这么一个链接。

http://bhhds.cn/user/7a3bb4700cfddef19fa23f.php?t=1&d=174&e=147&hc=bofnuf

注意：该链接就是真实的钓鱼网站链接，切忌不要输入在这个网站中输入真实的QQ密码

我们来看看这个页面：



乍一看还挺像这么回事儿的，连二维码都有（当然，是无效的二维码）。其实明眼人一看这个页面，也就大致知道钓鱼的流程了，就是诱骗使用者在两个文本框中输入QQ号和密码，然后，密码就被发送至某个地方去了，当然，账号也就被泄露了。

下面就开始一层一层拨开这个网站的真实面纱了。按照正常思维，右键-查看源代码，结果发现现实的是一堆乱码，细看之后发现，这个网页的所有代码都是用过base64编码过的，到本地以后再用过base64解码还原成html格式。不过我们可以通过浏览器调试工具查看代码，因为调试工具里面的代码都是已经经过解码后得到的，因此就绕过了base64的解码模块。至于用base64编码的目的，应该是为了隐藏网站的真实代码，以便躲过一些自动化的监管，比如腾讯QQ的安全提醒。

首先，打开chrome的开发者工具（Firebug也是类似的），然后通过代码定位，一层一层地定位到文本输入框。如下图所示：



真是要感叹一下网站制作这的用心良苦，所有页面中的标签的class都是哈希值，并不能目测看出其含义，不过这并不能阻挡继续打破砂锅问到底的节奏！可以看到，QQ号码文本框的name以w8结尾，而QQ密码的文本框的name以2R结尾，而name=all_window的div沉底显示一个图片，这就是我们看到的网页背景了。整个网页的元素非常简单，就是一副背景图片+两个文本框+一个submit按钮。

这个网站的js文件也是通过base64编码的，所以直接用chrome查看一样是乱码。不过可以通过网站本身提供的base64解码程序进行解码，最后也能得到真实的js代码，这里就不赘述了。

下面来模拟一下，钓鱼网站钓鱼的过程，先打开chrome自带的抓包功能，然后在QQ号文本框和QQ密码文本框中分别输入指定的信息，然后点击submit按钮。如图所示：





可以看到，页面跳转以后，自然收到很多数据包，不过仔细看就能发现，前几个报文包非常可疑，于是就打开来仔细看看！果然，在其中一个发给index.php的post请求中，携带了两个表单信息，一个是以w8结尾的，另一个是2R结尾的，是不是很熟悉！对，那就是我们刚才输入的QQ号和密码。



到这儿，问题已经分析的很透彻了，就是一个只有一个背景图片和两个文本框的钓鱼网站盗走了我们的QQ号，所以大家以后还是要对这种上来就要求输入密码的多家警惕。