针对一次非法资金盘的攻击

                                                                                                        

什么是“杀猪盘”？

“杀猪盘”是“诈骗者”自己起的名字。诈骗分子准备好人设、交友套路等“猪饲料”，将社交平台称为“猪圈”，在其中寻找被他们称为“猪”的诈骗对象。通过建立恋爱关系，即“养猪”。最后骗取钱财，即“杀猪”。说白了就是诈骗分子和你先搞好关系，然后以“朋友”、“恋人”的关系去诱导你充钱到赌博网站，等你回过头来的时候他们已经销声匿迹了。

                                                                                                        

针对一次非法资金盘的攻击

最初看到朋友圈各种晒资金APP收入信息截图，怀疑是被骗了，好意提醒过她，结果之后就收到朋友的信息求助：

首先下载 App 去了解一下界面是什么样的：

发现这应该是一个 H5 打包封装的 app ，制定一下攻击流程：要么先找源码进行白盒测试要么就进行黑盒测试！

常见的获取源码的平台有：互站网，源码之家，站长下载。不过这种类型的源码居多：

互站网针对这种类型的源码非常的多，不过这些源码都是基于 tp 框架 cms 二次开发的系统，

大致内容应该都是一样的！

从互站网发现了一套源码，询问客服能不能给一个演示站点。客服晚上发了一个演示站点和测试账户进行测试：

看起来和目标站点大致相同：

跟目标站点对比了一下，功能大致相同，出处内容不大。

针对演示站点的弱点排查进行后台模糊测试：

此处看到一处上传点：

不过上传限制了白名单上传，这个地方丢弃掉。在后台翻了一个遍，基本是白名单控制无法突破。

后续来到前台，看到有提交任务出有上传的功能：

先抓包分析查看：

于是凭借经验尝试修改“image/jpeg”为“text/php”试一试：

提交成功去看看能不能拿到shell：

前台没有图片链接信息，去后台看看：

同样也没有链接信息，可能是上传方式有问题，再重新试试：

这次把jpeg改成PHP 再试试：

去后台看看发现有了地址：    

成功图片上传拿到 Webshell：

拿到 webshell 后把源码打包，之后进行代码审计，这是当前源码目录结构：

为了节约时间决定先找 getshell 漏洞，再找 sql 注入或者其他漏洞，因为这种漏洞能够快速拿到目标网站权限，通过代码审计看到会员中心有一处文件上传：

跟进 upload_base64 方法：

分析编码过来的base64流存不存在 data image  先前把image 改成了 text 所以才没有上传成功！这是目标站点页面信息：

通过审计出来的 0day 成功拿到网站权限：

拿到了网站权限于是就想钓鱼幕后杀猪盘黑手，通过利用Flash钓鱼手段获取管理员PC终端权限。

先是伪造了一个 Flash 官网：

然后诈骗团伙登陆后台后，会弹出升级Flash。

点击就会下载带有后门的恶意文件：

Flash 钓鱼原理就是这样，随后通过漫长等待目标终于上钩：

最终锁定了嫌疑人的 IP 和社交信息：

IP：118.xx.xx.43

通过大数据综合关联分析以及诈骗团伙终端资料，得出一些历史密码及社交信息。

在此已获取到嫌疑人所有社交信息，获取到目标宝塔权限，邮箱等...

进入数据库，将受害人手机号码导出，分析受害者分布地区：

可见全国各地都有不同的人上钩，在这里跟大家说一下一定要远离资金盘，远离赌博网站，这些都是“杀猪刀”，如果你”上钩“了，你也变成“猪”了！