惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

腾讯CDC
Schneier on Security
Schneier on Security
B
Blog RSS Feed
aimingoo的专栏
aimingoo的专栏
P
Proofpoint News Feed
A
About on SuperTechFans
Recorded Future
Recorded Future
Recent Announcements
Recent Announcements
Microsoft Security Blog
Microsoft Security Blog
L
LangChain Blog
Hugging Face - Blog
Hugging Face - Blog
The GitHub Blog
The GitHub Blog
Google DeepMind News
Google DeepMind News
T
Tailwind CSS Blog
Vercel News
Vercel News
H
Hackread – Cybersecurity News, Data Breaches, AI and More
MyScale Blog
MyScale Blog
V2EX - 技术
V2EX - 技术
N
Netflix TechBlog - Medium
F
Fortinet All Blogs
V
Visual Studio Blog
Martin Fowler
Martin Fowler
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
博客园 - Franky
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
T
The Exploit Database - CXSecurity.com
F
Full Disclosure
Scott Helme
Scott Helme
H
Heimdal Security Blog
博客园 - 叶小钗
Google DeepMind News
Google DeepMind News
Cyberwarzone
Cyberwarzone
Application and Cybersecurity Blog
Application and Cybersecurity Blog
V
Vulnerabilities – Threatpost
Blog — PlanetScale
Blog — PlanetScale
Security Latest
Security Latest
WordPress大学
WordPress大学
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
T
Troy Hunt's Blog
S
SegmentFault 最新的问题
Forbes - Security
Forbes - Security
Jina AI
Jina AI
S
Securelist
小众软件
小众软件
Simon Willison's Weblog
Simon Willison's Weblog
J
Java Code Geeks
AWS News Blog
AWS News Blog
N
News and Events Feed by Topic
博客园 - 三生石上(FineUI控件)
量子位

龙辉's Blog

对学某通的登录逆向分析 - 龙辉's Blog 天方云签程序开源 - 龙辉's Blog 蓝桥杯省赛Web题解及知识点复习 - 龙辉's Blog CTFSHOW-菜狗杯(部分WP) - 龙辉's Blog 贵州师范大学抢课脚本-正方教务系统V8.0.0 - 龙辉's Blog 简单实现每日健康自动打卡 - 龙辉's Blog 弱类型与强类型语言“=”号的不同以及引发的安全问题 - 龙辉's Blog php获取客户端ip以及ip伪造 - 龙辉's Blog XSS经典漏洞复现-手撕某非法获取个人信息网站 - 龙辉's Blog php7.2中each()函数被弃用的替换办法 - 龙辉's Blog
记录一次入侵某钓鱼盗号网站的过程 - 龙辉's Blog
博主: Tinker-站长 · 2023-08-26 · via 龙辉's Blog

记录一次入侵某钓鱼盗号网站的过程

  • 发布时间:
  • 8328 次浏览
  • 2 条评论
  • 2417字数
  • 分类: 那些事
  1. 首页
  2. 正文  
  3. 分享到:

一次入侵某盗号网站的记录

就算是经常混迹互联网的我,也会被骗,技术再厉害也难防人心。今天有朋友给我发了一个盗号网站,说他朋友被盗号了,给了他发了一个链接,于是便有了这篇文章。

0X01

故事的开局
chat.jpg

点击链接进去
login.png
很明显这就是一个收集QQ账号密码的,当然了这只是对我来说... 很多不是相关专业的朋友打开这样的链接也看不出和官方的区别。这里给大家分享一下如何辨别类似的假冒网站吧。1、 按理说要在中国大陆内搭建网站都是需要备案的,如果面向国内业务的网站没有备案,那百分之90都不是正规。点我查询网站备案信息
2、看域名后缀,如果类似这种cfd、xyz、top之类的 没几个大公司用这种域名,因为便宜,骗子们用完就丢了。大部分都是com、cn、net、org等

0X02

我拿到这个链接的思路,很多骗子们都是不会写代码的,这种盗号程序大部分都是从网上找来的,而且写的很垃圾...很多都没有对用户输入的数据进行过滤,就算是过滤,也是简简单单的通过前端写几个正则表达式匹配一下,我们可以直接把验证部分给删了,或者是直接向服务器发送数据。最开始想的是直接把密码写成一段js,实现xss注入,拿到路径和进入后台,再找到上传点,传入php大马,实现控制服务器,再通过大马传一个数据库管理系统,进入数据库,将数据库进行删除。
具体插入的方法请参考

等了一段时间还没有获取到对应信息,我想应该是代码被过滤了,或者是被拦截了,那就主动出击吧。
这里我先用御剑扫描网站目录,看看能不能扫描出有用的信息。

scan.png

果然扫出了挺多文件的,而且还发现一个bak后缀的,我想到了备份漏洞,就是将开发者在数据库对某些源代码进行备份打包,没有删除,导致泄露相关配置信息。
bak.png
可以从上面看到这就是一个dedecms,而且版本还非常的低,大概是十一年前的东西,这种比较大型的cms使用的人还是挺多的,所以漏洞也多,因为有更多人的会去审计他的代码,要是一个垃圾程序,没谁会去审计代码,因为就算审计出漏洞了,也没多大的危害。
这是御剑扫到的其中一个后台目录
AGEN}<code>80{347</code>UD_$}KEHMS.png
原本想的是利用该程序公开的漏洞实现getshell,但我想了想会不会连后台的账号密码都是默认的,通过搜索引擎的检索,可知dedecms的后台账号密码默认都是admin,输入之后成功进入

admin.png

找到某个地方的文件上传点,上传了我改良过的php木马(可实现在各种php版本运行),成功getshell

sss.png

可看到网站的目录和同服务器下的其他站点,都是钓鱼网站。由于该站使用的php版本较低,我又通过大马上传了较低版本的phpmyadmin,实现对数据库的操作,成功进入数据库

up.png

里面的账号密码还是挺多的,挺多人被骗的。我把数据库所有的东西和程序都删了,让更少的人被骗吧。
又通过木马,把服务器的日志给删了,达不留痕迹,到全身而退
NC%C@TTZXX1@EZ[$F5[2EZ2.png

最后挂了一个黑页

ma.png

总结一下常见的web漏洞
xss漏洞
csrf漏洞
sql漏洞
模板漏洞
备份漏洞
默认账号密码漏洞
文件上传漏洞
越权漏洞

0X03

最后,希望大家在平时看到不明链接和不明二维码不要随便点击,不要看到个输入框就着急的输入自己的个人信息。要是让我写这种网站,我可以做的更加逼真,在同学朋友需要获取你的信息时或者涉及钱财时,请先通过电话、视频等方式确认对方身份的真实性。有时候真正的黑客往往采用的是最低端的方法。现在数据泄露严重,基本上也都是在互联网裸奔,所以大家在互联网也要注意自己的言行。


版权属于:龙辉博客

本文链接:https://blog.eirds.cn/407.html

如果没有特别声明则为本博原创。转载时须注明出处及本声明!

赞赏作者

如果觉得我的文章对你有用,请随意赞赏

记录一次入侵某钓鱼盗号网站的过程