惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

N
Netflix TechBlog - Medium
V
Vulnerabilities – Threatpost
Google Online Security Blog
Google Online Security Blog
Hugging Face - Blog
Hugging Face - Blog
L
LINUX DO - 热门话题
云风的 BLOG
云风的 BLOG
P
Proofpoint News Feed
D
Docker
C
Cyber Attacks, Cyber Crime and Cyber Security
MyScale Blog
MyScale Blog
P
Palo Alto Networks Blog
T
Tenable Blog
P
Privacy International News Feed
Google DeepMind News
Google DeepMind News
小众软件
小众软件
Cisco Talos Blog
Cisco Talos Blog
aimingoo的专栏
aimingoo的专栏
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
A
Arctic Wolf
C
Cybersecurity and Infrastructure Security Agency CISA
C
Cisco Blogs
T
Threat Research - Cisco Blogs
NISL@THU
NISL@THU
The Hacker News
The Hacker News
Project Zero
Project Zero
AWS News Blog
AWS News Blog
Simon Willison's Weblog
Simon Willison's Weblog
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
T
Threatpost
V
Visual Studio Blog
The GitHub Blog
The GitHub Blog
The Cloudflare Blog
Last Week in AI
Last Week in AI
Jina AI
Jina AI
Cyberwarzone
Cyberwarzone
The Register - Security
The Register - Security
C
CXSECURITY Database RSS Feed - CXSecurity.com
Vercel News
Vercel News
D
Darknet – Hacking Tools, Hacker News & Cyber Security
MongoDB | Blog
MongoDB | Blog
U
Unit 42
Scott Helme
Scott Helme
A
About on SuperTechFans
WordPress大学
WordPress大学
F
Fortinet All Blogs
大猫的无限游戏
大猫的无限游戏
G
GRAHAM CLULEY
Latest news
Latest news
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
S
Schneier on Security

龙辉's Blog

对学某通的登录逆向分析 - 龙辉's Blog 天方云签程序开源 - 龙辉's Blog 蓝桥杯省赛Web题解及知识点复习 - 龙辉's Blog CTFSHOW-菜狗杯(部分WP) - 龙辉's Blog 贵州师范大学抢课脚本-正方教务系统V8.0.0 - 龙辉's Blog 简单实现每日健康自动打卡 - 龙辉's Blog 弱类型与强类型语言“=”号的不同以及引发的安全问题 - 龙辉's Blog php获取客户端ip以及ip伪造 - 龙辉's Blog XSS经典漏洞复现-手撕某非法获取个人信息网站 - 龙辉's Blog php7.2中each()函数被弃用的替换办法 - 龙辉's Blog
记录一次入侵某钓鱼盗号网站的过程 - 龙辉's Blog
博主: Tinker-站长 · 2023-08-26 · via 龙辉's Blog

记录一次入侵某钓鱼盗号网站的过程

  • 发布时间:
  • 8328 次浏览
  • 2 条评论
  • 2417字数
  • 分类: 那些事
  1. 首页
  2. 正文  
  3. 分享到:

一次入侵某盗号网站的记录

就算是经常混迹互联网的我,也会被骗,技术再厉害也难防人心。今天有朋友给我发了一个盗号网站,说他朋友被盗号了,给了他发了一个链接,于是便有了这篇文章。

0X01

故事的开局
chat.jpg

点击链接进去
login.png
很明显这就是一个收集QQ账号密码的,当然了这只是对我来说... 很多不是相关专业的朋友打开这样的链接也看不出和官方的区别。这里给大家分享一下如何辨别类似的假冒网站吧。1、 按理说要在中国大陆内搭建网站都是需要备案的,如果面向国内业务的网站没有备案,那百分之90都不是正规。点我查询网站备案信息
2、看域名后缀,如果类似这种cfd、xyz、top之类的 没几个大公司用这种域名,因为便宜,骗子们用完就丢了。大部分都是com、cn、net、org等

0X02

我拿到这个链接的思路,很多骗子们都是不会写代码的,这种盗号程序大部分都是从网上找来的,而且写的很垃圾...很多都没有对用户输入的数据进行过滤,就算是过滤,也是简简单单的通过前端写几个正则表达式匹配一下,我们可以直接把验证部分给删了,或者是直接向服务器发送数据。最开始想的是直接把密码写成一段js,实现xss注入,拿到路径和进入后台,再找到上传点,传入php大马,实现控制服务器,再通过大马传一个数据库管理系统,进入数据库,将数据库进行删除。
具体插入的方法请参考

等了一段时间还没有获取到对应信息,我想应该是代码被过滤了,或者是被拦截了,那就主动出击吧。
这里我先用御剑扫描网站目录,看看能不能扫描出有用的信息。

scan.png

果然扫出了挺多文件的,而且还发现一个bak后缀的,我想到了备份漏洞,就是将开发者在数据库对某些源代码进行备份打包,没有删除,导致泄露相关配置信息。
bak.png
可以从上面看到这就是一个dedecms,而且版本还非常的低,大概是十一年前的东西,这种比较大型的cms使用的人还是挺多的,所以漏洞也多,因为有更多人的会去审计他的代码,要是一个垃圾程序,没谁会去审计代码,因为就算审计出漏洞了,也没多大的危害。
这是御剑扫到的其中一个后台目录
AGEN}<code>80{347</code>UD_$}KEHMS.png
原本想的是利用该程序公开的漏洞实现getshell,但我想了想会不会连后台的账号密码都是默认的,通过搜索引擎的检索,可知dedecms的后台账号密码默认都是admin,输入之后成功进入

admin.png

找到某个地方的文件上传点,上传了我改良过的php木马(可实现在各种php版本运行),成功getshell

sss.png

可看到网站的目录和同服务器下的其他站点,都是钓鱼网站。由于该站使用的php版本较低,我又通过大马上传了较低版本的phpmyadmin,实现对数据库的操作,成功进入数据库

up.png

里面的账号密码还是挺多的,挺多人被骗的。我把数据库所有的东西和程序都删了,让更少的人被骗吧。
又通过木马,把服务器的日志给删了,达不留痕迹,到全身而退
NC%C@TTZXX1@EZ[$F5[2EZ2.png

最后挂了一个黑页

ma.png

总结一下常见的web漏洞
xss漏洞
csrf漏洞
sql漏洞
模板漏洞
备份漏洞
默认账号密码漏洞
文件上传漏洞
越权漏洞

0X03

最后,希望大家在平时看到不明链接和不明二维码不要随便点击,不要看到个输入框就着急的输入自己的个人信息。要是让我写这种网站,我可以做的更加逼真,在同学朋友需要获取你的信息时或者涉及钱财时,请先通过电话、视频等方式确认对方身份的真实性。有时候真正的黑客往往采用的是最低端的方法。现在数据泄露严重,基本上也都是在互联网裸奔,所以大家在互联网也要注意自己的言行。


版权属于:龙辉博客

本文链接:https://blog.eirds.cn/407.html

如果没有特别声明则为本博原创。转载时须注明出处及本声明!

赞赏作者

如果觉得我的文章对你有用,请随意赞赏

记录一次入侵某钓鱼盗号网站的过程