spmedia/PhishingSecLists

# PhishingSecLists 此列表适用于 Web 扫描工具（[Gobuster](https://github.com/OJ/gobuster)、[ffuf](https://github.com/ffuf/ffuf)、Burp Suite、DirBuster）。这些列表专门为对钓鱼、加密货币诈骗登录页面以及其他恶意网站进行模糊测试而量身定制和设计。 通过找到他们的受害者或目标列表，你可以帮助防止进一步的伤害。如果你能看透他们操作的幕后，你就能瓦解他们。找到这些文件将为你提供大量有价值的情报，以便你进行扩展利用或采取行动。 威胁行为者的网站是进行扫描和练手的绝佳目标。他们能怎么做？向警察举报你吗？哈哈 这些列表是通过查看所有流行钓鱼工具包（blackeye、SET、evilginx2、zphisher 等）的源代码，寻找它们的文件保存名称、蜜罐、梳理活跃的滥用报告、潜伏在低端诈骗犯的聊天群中，以及真实的钓鱼登录页面而编译出来的。 列表中包含的语言有：缅甸语、柬埔寨语、中文、英语、印地语、印尼语、高棉语、尼日利亚洋泾浜英语、马来语、俄语、西班牙语、斯瓦希里语、泰米尔语、泰语和乌克兰语。 需要注意的是：此方法的成功率较低。在扫描 100 个独特的钓鱼/恶意网站时，你可能只会得到 4-5 个命中结果，但是当你确实获得一个有效的命中结果时，所得到的情报是极其有价值的。 你也可以使用此列表在扫描 Tor 隐藏服务的 .onion 域名时寻找命中结果。  工作正在进行中 █████▒▒▒▒▒ 54% - 灵感来源于 [SecLists](https://github.com/danielmiessler/SecLists) 和数小时的扫描。 保护好你的脖子 # 关于这些列表 ℹ️ **Wizard.txt** = 旅行者 beware，这份神圣的卷轴掌控着最黑暗的加密货币魔法。常见的文件名和目录，他们可能将捕获的凭证、电子邮件、后台和管理面板登录信息、API、活动数据等保存在其中。涵盖了各种目标行业的杂烩，但主要围绕金融/加密货币/银行等领域。 **Shells.txt** = 用于扫描的常见 shell 文件名 # 示例用法 👀 我喜欢使用 [gobuster](https://github.com/OJ/gobuster) 进行扫描。[ffuf](https://github.com/ffuf/ffuf) 也非常不错。 示例 1：  扫描我在 [Crypto Phishing Threat Intel Feed](https://github.com/spmedia/Crypto-Scam-and-Crypto-Phishing-Threat-Intel-Feed) 上找到的一个随机钓鱼页面。它让我们发现根目录下有一个 `l.txt` 文件，其中包含 user-agent 日志。深入挖掘可能会很有用。日志中最开始的 IP 会属于正在设置或测试它的攻击者吗？还有谁访问过这个登录页面？等等。它还让我们知道该服务器上存在一个 /controlpanel（通常是 cPanel）和 /webmail。 诈骗登录页面  发现包含 user-agent 和 IP 日志的 `l.txt`  示例 2： 在一个诈骗登录页面上发现一个开放的 `/scripts/` 目录，里面有一些有趣的文件。  示例 3： 对一个“美国金融公司”诈骗网站的扫描揭示了一个包含中文字符并且在源代码中带有 `` 的 `admin/login` 页面。语言代码 zh 是中文的 ISO 639-1 标准代码。这让我们了解到这次诈骗背后的威胁行为者可能是中国人。  示例 4： 对一个 Ledger 加密货币诈骗网站的扫描揭示了一个包含 IP 列表的 `a.txt`。这是一个屏蔽列表吗？它是访问过该网站的受害者的日志吗？这是一个值得调查的好线索。  发现这类信息太棒了！这为你后续的调查和 OSINT 信息收集提供了新的、增强的额外情报。有些人真的会在他们的诈骗和恶意登录页面上留下最疯狂、最容易发现的文件。 示例 5： 在扫描一个加密货币交易所诈骗网站时，发现了一个 `/interface` 页面，该页面引导我们进入一个 `/top` 区域。它是一个内部的邀请统计系统，显示了已发送的邀请数量以及每个邀请/用户为诈骗者带来的收益。无需登录即可查看。这些 Gmail 地址看起来像是卷入该诈骗的潜在受害者，甚至可能是诈骗者本人的电子邮件……这是值得调查的良好数据。  示例 6： 扫描一个勒索软件集团的 .onion URL，让我找到了一个 `/server-status` 页面，其中揭示了一些有趣的信息……  示例 7： 对一个加密货币交易所诈骗 URL 进行模糊测试，让我们找到了一个他们在设置后未能删除的 `index.zip`，这使我们能够下载整个钓鱼登录页面。梳理源代码可以让我们了解这个诈骗是如何设置的。是否有硬编码的 API 密钥或钱包地址？整个系统是如何设置的？等等。  示例 8： 在一个使用名为 KIT ADMIN 的热门中文面板的加密货币诈骗网站上，发现了 `/admin/index.html` 和 `/admin/login.html`。访问 index.html 让我们能在被重定向到 `login.html` 之前，短暂地看到这个诈骗网站的后台管理面板。如果你使用 burp 拦截重定向，它将赋予你对该诈骗网站整个后台管理面板的完整且未经授权的访问权限 👀😍  哈哈 RIP - 你现在拥有了该诈骗网站的完全访问权限，可以做任何你想做的事 - 我们还了解到并看到管理员的名称设置为 `Van`。Van 是越南的一个常见名字。  示例 9： 在一个虚假的加密货币交易所钓鱼网站上的一个好奇的 `in.txt` 命中。当我们访问它时，看到了一位比我们先来这里的黑客留下的便条。有点酷！它就像是一件来自历史黑客过去的圣物。  示例 10： 在一个加密货币诈骗网站的根目录中发现了 `data.zip` 的命中。下载它让我们能够访问整个网站的源代码，查看其设置方式，并且其中包含硬编码的凭证、加密货币钱包地址和 API 密钥。`.DS_Store` 命中也很值得关注，它让我们知道该网站背后的操作者是 macOS 用户。  从源代码来看，这很可能是一些中国骗子。 (翻译 == 授权地址) ``` //授权地址 let address = 'TFRsDKmRBqJXEJFFcq8Gzmoo9otg6aUre8' ``` & (翻译 == 获取地址) ``` async function ethBalance() { getWeb3().then(async res => { window.web3 = res; let contractAddress = "0xdAC17F958D2ee523a2206206994597C13D831ec7"; window.contract = new window.web3.eth.Contract( ABI, contractAddress ); // todo 获取地址 ``` # 命令 / 快速备忘录 📃 这只是一个简短的参考部分，旨在帮助你提高发现命中的几率并绕过某些拦截。 使用 ffuf 时，你可以将所有的钓鱼 URL 导入到一个 domains.txt 中，一次性扫描多个网站以提高命中率。 然后执行： ## ``` ffuf -w domains.txt:DOMAIN -w Wizard.txt -u DOMAIN/FUZZ -c -mc 200 -t 75 ``` 更改 ffuf 的 user-agent（默认值直接是 `Fuzz Faster U Fool`，这通常会被某些系统拦截）： ## ``` ffuf -w Wizard.txt -u https://example.com/FUZZ -c -t 75 -mc 200 -H "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36" ``` 使用 Tor 出口代理扫描目标并更改 user-agent（在扫描前确保先执行 `service tor start`）： ## ``` ffuf -w Wizard.txt -u https://example.com/FUZZ -c -t 75 -mc 200 -H "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36" -x socks5://127.0.0.1:9050 ``` 扫描 .onion 隐藏服务 URL 并更改 user-agent（在扫描前确保先执行 `service tor start`）： ## ``` ffuf -w Wizard.txt -u http://oow7rehrxlzpy6vh3hezl2khstkpa6s7wx3iit74tr6xbjibupld5iad.onion/FUZZ -c -t 75 -mc 200 -H "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36" -x socks5://127.0.0.1:9050 ``` 你的扫描是否把所有内容都返回为“已找到”？让我们把这些垃圾过滤掉！查看大小，然后使用 `-fs 17865`（在使用 ffuf 时）让它闭嘴并继续扫描以获得有效的命中。 (ffuf 把所有内容都返回为“已找到”)  # 致谢 🙏 所有在第一线和进行模糊测试的 CTI 和数据极客们，tk0、joohoi、rj2、SP、neqx 以及所有强大的巫师们，Cybersecurity Stickers 感谢他们售卖酷炫的网络安全贴纸，以及帮助进行扫描的 DC225 小伙伴们！ # Star 历史 ⭐

标签：Burp Suite, DirBuster, ffuf, GoBuster, Object Callbacks, Tor隐藏服务, 加密货币欺诈, 反诈骗, 威胁情报, 字典文件, 密码管理, 开发者工具, 情报收集, 暗网, 漏洞研究, 网站扫描, 网络安全, 网络钓鱼, 诈骗防护, 路径爆破, 钓鱼网站, 隐私保护, 黑灰产打击