什么是“杀猪盘”?
“杀猪盘”是“诈骗者”自己起的名字。诈骗分子准备好人设、交友套路等“猪饲料”,将社交平台称为“猪圈”,在其中寻找被他们称为“猪”的诈骗对象。通过建立恋爱关系,即“养猪”。最后骗取钱财,即“杀猪”。说白了就是诈骗分子和你先搞好关系,然后以“朋友”、“恋人”的关系去诱导你充钱到赌博网站,等你回过头来的时候他们已经销声匿迹了。
针对一次非法资金盘的攻击
最初看到朋友圈各种晒资金APP收入信息截图,怀疑是被骗了,好意提醒过她,结果之后就收到朋友的信息求助:
首先下载 App 去了解一下界面是什么样的:
发现这应该是一个 H5 打包封装的 app ,制定一下攻击流程:要么先找源码进行白盒测试要么就进行黑盒测试!
常见的获取源码的平台有:互站网,源码之家,站长下载。不过这种类型的源码居多:
互站网针对这种类型的源码非常的多,不过这些源码都是基于 tp 框架 cms 二次开发的系统,
大致内容应该都是一样的!
从互站网发现了一套源码,询问客服能不能给一个演示站点。客服晚上发了一个演示站点和测试账户进行测试:
看起来和目标站点大致相同:
跟目标站点对比了一下,功能大致相同,出处内容不大。
针对演示站点的弱点排查进行后台模糊测试:
此处看到一处上传点:
不过上传限制了白名单上传,这个地方丢弃掉。在后台翻了一个遍,基本是白名单控制无法突破。
后续来到前台,看到有提交任务出有上传的功能:
先抓包分析查看:
于是凭借经验尝试修改“image/jpeg”为“text/php”试一试:
提交成功去看看能不能拿到shell:
前台没有图片链接信息,去后台看看:
同样也没有链接信息,可能是上传方式有问题,再重新试试:
这次把jpeg改成PHP 再试试:
去后台看看发现有了地址:
成功图片上传拿到 Webshell:
拿到 webshell 后把源码打包,之后进行代码审计,这是当前源码目录结构:
为了节约时间决定先找 getshell 漏洞,再找 sql 注入或者其他漏洞,因为这种漏洞能够快速拿到目标网站权限,通过代码审计看到会员中心有一处文件上传:
跟进 upload_base64 方法:
分析编码过来的base64流存不存在 data image 先前把image 改成了 text 所以才没有上传成功!这是目标站点页面信息:
通过审计出来的 0day 成功拿到网站权限:
拿到了网站权限于是就想钓鱼幕后杀猪盘黑手,通过利用Flash钓鱼手段获取管理员PC终端权限。
先是伪造了一个 Flash 官网:
然后诈骗团伙登陆后台后,会弹出升级Flash。
点击就会下载带有后门的恶意文件:
Flash 钓鱼原理就是这样,随后通过漫长等待目标终于上钩:
最终锁定了嫌疑人的 IP 和社交信息:
IP:118.xx.xx.43
通过大数据综合关联分析以及诈骗团伙终端资料,得出一些历史密码及社交信息。
在此已获取到嫌疑人所有社交信息,获取到目标宝塔权限,邮箱等...
进入数据库,将受害人手机号码导出,分析受害者分布地区:
可见全国各地都有不同的人上钩,在这里跟大家说一下一定要远离资金盘,远离赌博网站,这些都是“杀猪刀”,如果你”上钩“了,你也变成“猪”了!