carry_your 运用了一个扫描和监控网站的小工具，发现了钓鱼网站的一处逻辑漏洞，通过会话劫持，carry_your 拿到了一个返回包，其中包含了 smtp （简单邮件传输协议）登陆过程、管理员账号密码，且密码为编码。

　　科普一下， 编码是网络上最常见的用于传输8Bit字节代码的编码方式之一，可用于在 HTTP 环境下传递较长的标识信息。采用 编码具有不可读性，即所编码的数据不会被人用肉眼所直接看到。

　　但是， 编码对于白帽子而言，其实比较简单，再次证明这个钓鱼网站Low。carry_your轻松找到了反编码工具，密码被破解。

　　然而，电影里的反派也不是一下就能被虐杀，总要有曲折，不然就是编剧蔑视观众智商！这话放到这个故事里也成立。

　　carry_you r告诉雷锋网，本来打算通过管理员的邮箱发件箱扒拉一下相关同伙的信息，结果——

　　我成功登陆了管理员的网易邮箱，不过可惜的是他做了设置，发件箱里没有信息。

　　不要灰心！我们要拥抱挫折。

　　上一处漏洞进行不下去了，我又进行了一翻寻找，又找到一处漏洞，这是一处注入，是update型的报错注入，我拿到管理员的信息。

　　这里的注入， 是指 SQL 注入，通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的 SQL 命令。而 update 型的报错注入，是指通过在正常的更新数据库语句参数里，插入伪装的恶意语句，使数据库引擎执行恶意语句并出错，将恶意语句查询出来的信息暴露出来。

　　于是，骗子的面纱揭开了！carry_your 得到了如下图所示的许多管理员的信息。

　　同时，好消息接连传过来，骗子的底裤都被扒掉了，XSS 平台反馈了后台地址及密码信息。

　　密码也是 编码。反编码后， 后台地址，管理员账号、密码一应俱全。登陆之后，carry_your 看到了这些：

　　carry_your 同时发现了46个账号，46个域名，46个管理账号的邮箱。这个盗窃团伙不是一般大！

　　同时，他也发现了很多受骗者的信息。原来被骗的人有这么多……真是让人痛心疾首，你看，有两位盆友还认认真真填写了两次，包括“你的理想工作是什么”“吃饱等饿”……只怪骗子太狡猾，钓鱼网站略逼真！

　　3.不要忽视哥，哥要动真格！

　　资料搜集完毕，carry_your 开始与骗子斗智斗勇了。

　　carry_your 告诉雷锋网， 他给46个管理者的邮箱群发了一封邮件，开始宣战，大意是“已经拿到系统的管理权限，知道网站的漏洞，想要谈一谈。”

　　为了表明自己谈判的决心， carry_your 修改了一些管理者的账户密码，并清除掉了两个钓鱼网站搜罗到的新受骗者的 ID 及密码信息，如果骗子没来得及备份，那么，你懂的。总之，意思就是，不要忽视哥，哥要动真格！

　　其中一个骗子收到邮件并发现账号密码被修改后，加了carry_your 的QQ，于是，正面斗争开始了。

　　carry_your 对雷锋网说，如果一直攻击钓鱼网站，一直删除其中的受骗者信息，而网站有漏洞，骗子不知道怎么修复，那么骗子会损失惨重。