一次入侵某盗号网站的记录

就算是经常混迹互联网的我,也会被骗，技术再厉害也难防人心。今天有朋友给我发了一个盗号网站，说他朋友被盗号了，给了他发了一个链接，于是便有了这篇文章。

0X01

故事的开局

点击链接进去

很明显这就是一个收集QQ账号密码的，当然了这只是对我来说... 很多不是相关专业的朋友打开这样的链接也看不出和官方的区别。这里给大家分享一下如何辨别类似的假冒网站吧。1、 按理说要在中国大陆内搭建网站都是需要备案的，如果面向国内业务的网站没有备案，那百分之90都不是正规。点我查询网站备案信息
2、看域名后缀，如果类似这种cfd、xyz、top之类的 没几个大公司用这种域名，因为便宜，骗子们用完就丢了。大部分都是com、cn、net、org等

0X02

我拿到这个链接的思路，很多骗子们都是不会写代码的，这种盗号程序大部分都是从网上找来的，而且写的很垃圾...很多都没有对用户输入的数据进行过滤，就算是过滤，也是简简单单的通过前端写几个正则表达式匹配一下，我们可以直接把验证部分给删了，或者是直接向服务器发送数据。最开始想的是直接把密码写成一段js，实现xss注入，拿到路径和进入后台，再找到上传点，传入php大马，实现控制服务器，再通过大马传一个数据库管理系统，进入数据库，将数据库进行删除。
具体插入的方法请参考

等了一段时间还没有获取到对应信息，我想应该是代码被过滤了，或者是被拦截了，那就主动出击吧。
这里我先用御剑扫描网站目录，看看能不能扫描出有用的信息。

果然扫出了挺多文件的，而且还发现一个bak后缀的，我想到了备份漏洞，就是将开发者在数据库对某些源代码进行备份打包，没有删除，导致泄露相关配置信息。

可以从上面看到这就是一个dedecms,而且版本还非常的低，大概是十一年前的东西，这种比较大型的cms使用的人还是挺多的，所以漏洞也多，因为有更多人的会去审计他的代码，要是一个垃圾程序，没谁会去审计代码，因为就算审计出漏洞了，也没多大的危害。
这是御剑扫到的其中一个后台目录

原本想的是利用该程序公开的漏洞实现getshell，但我想了想会不会连后台的账号密码都是默认的，通过搜索引擎的检索，可知dedecms的后台账号密码默认都是admin，输入之后成功进入

找到某个地方的文件上传点，上传了我改良过的php木马(可实现在各种php版本运行)，成功getshell

可看到网站的目录和同服务器下的其他站点，都是钓鱼网站。由于该站使用的php版本较低，我又通过大马上传了较低版本的phpmyadmin,实现对数据库的操作，成功进入数据库

里面的账号密码还是挺多的，挺多人被骗的。我把数据库所有的东西和程序都删了，让更少的人被骗吧。
又通过木马，把服务器的日志给删了，达不留痕迹，到全身而退

最后挂了一个黑页

总结一下常见的web漏洞
xss漏洞
csrf漏洞
sql漏洞
模板漏洞
备份漏洞
默认账号密码漏洞
文件上传漏洞
越权漏洞

0X03

最后，希望大家在平时看到不明链接和不明二维码不要随便点击，不要看到个输入框就着急的输入自己的个人信息。要是让我写这种网站，我可以做的更加逼真，在同学朋友需要获取你的信息时或者涉及钱财时，请先通过电话、视频等方式确认对方身份的真实性。有时候真正的黑客往往采用的是最低端的方法。现在数据泄露严重，基本上也都是在互联网裸奔，所以大家在互联网也要注意自己的言行。

版权属于：龙辉博客

本文链接：https://blog.eirds.cn/407.html

如果没有特别声明则为本博原创。转载时须注明出处及本声明！

如果觉得我的文章对你有用，请随意赞赏