这个钓鱼站让正在备战高考中的我很不爽。特地腾出半个小时，淦它丫的。
这是我在吾爱的第一篇帖子。
-------------------------------------------------------------------------------------------------
网站的页面就是这样，不光吊QQ密码，sfz啥的都吊。
 
思路有3种
1.扫后台爆破或者看看登录框能不能注入（万能密码） 扫描无果
2.insert注入，但是发现没有回显的功能（尚未尝试）
3.xss盲打
xss原理，大家可以百度。

（1）抓包

（2）构造恶意请求
不难理解，u 和p的两个值分别对应用户名和密码，而这两个参数也会在后台显示，这就是可以尝试xss盲打的原因。（如果后台加过滤了就不能用了）
这里我就不放xss平台的地址了，有兴趣的朋友可以去百度，自己搭建一个也可以。

（3）坐等Cookie

我先前已经打过一次了

这里不光可以获取cookie，还有后台地址（因情况而定），权限足够的话，屏幕截图，记录键盘啥的都可以

（4）cookie欺骗进入后台
修改cookie直接访问后台首页而不是登录页面。
PS昨晚睡前我再次尝试，后台登录框雀食可以注入，不过有验证码，跑sqlmap可能费点事，太晚了就没手注，有兴趣的同学可以来找我交流一下。