0x001 起因
妹纸约我去后海喝咖啡，刚刚下车到了步行街，手机duang的一声
一图胜千言
0x002 疑惑后的恍然..
打码范围是正常10086发给我的，是昨天家里人加进来短号了。下面一条是基站发给我的
刚开始我看到10086我是相信这条短信的。号码确实来自10086。疑惑的是10086换了一个域名？
官方：www.10086.cn
钓鱼站：www.10086xxx.com
我就顿时大悟，原来这片地区有人用伪基站。
下面科普一下伪基站。。。
“伪基站”即假基站，设备一般由主机和笔记本电脑组成，通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息，通过伪装成运营商的基站，冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。
2014年以来，中央宣传部、中央网信办、最高法、最高检、公安部、工信部、安全部、工商总局、质检总局等9部门在全国范围内部署开展打击整治专项行动，严打非法生产、销售和使用“伪基站”设备的违法犯罪活动。
-----------------------------------------------------------------------------万恶的分割线-----------------------------------------------------------------------------
个人愚见：就类似于DNS劫持，把你手机的信号劫持去伪基站的信号，然后就发送信息给你
由于当时我还在忙着奔赴约会现场，我就懒得理。
0x003 查明真相
急忙回到家中，打开电脑。。输入10086xx.com
看到以下↓
我随便输入一个11位的号码（如18888888888）。就提示182.5元，脚指头一猜就知道有问题...
钓鱼网站，呵呵，有点意思，钓我头上来了。
打开煤气点支烟，冷静了一下，心中已经有了思路！
钓鱼站一般都是很水的，很少看到很严谨的钓鱼站。。。一般都是其他的功能转去真正的10086
然后敏感功能才是不会转跳的，我就尝试了一下，点充值之类的，果然都转去10086.cn
那么能突破的地方就是不会转跳的兑换人民币功能了
如上图有一个直接兑换...好吧，兑换人民币去咯
0x004 渗透网站
兑换后我来到的这里，看了一下域名还在本域www.10086xxx.com。
显示的是填写兑换人民币收款信息，“人心不足蛇吞相，呵呵”就是贪婪引发的"钓鱼"
我随便填写了一下信息点下一步，发现有提示不符合规范~看来有做一个限制，姓名是什么字符
卡号是什么字符、手机字符长短多少位数之类的 。。。
审查元素，看看什么限制
Javascript限制（即JS）就想到了burpsuite抓改发送包~。。。。我耐心的把day.js这个文件代码全部看了一遍。
接着我发现没有对密码进行限制，也就是啥字符都可以..
丢了一个xss进去。。。等待ing...
随便输入一个目录看看报错的信息...
如下，被狗咬了一口.........
就想到我的xss可能要换一下转义了~换了一个转义再次丢xss进去 .....
继续手动输入目录/admin/
出现后台系统，钓鱼站一般都不会很严格，我就想验证一下，admin'
出现了，祭出SQLmap
sqlmap.py -u "http://xxxxx.cn/admin/login.asp" --data "username=admin*"   
POST注入
跑一下
信息：access web：asp win
查看源码：
    document.getElementById('username').value = '';    document.getElementById('password').value = '';    return false;}
username password
准备指定查询。。xss提示上线...
欺骗cookie进入之
值得一提的是：这个网站非常有意思，每当有鱼儿上钩的时候就会有铃声。
由于后台带了卡号密码，并且鱼儿很多。以及信用卡密码和那啥，影响太大。全程打码