长亭百川云 - 文章详情

针对一次非法资金盘的攻击

InBug实验室

63

2024-07-13

                                                                                                        

什么是“杀猪盘”?

“杀猪盘”是“诈骗者”自己起的名字。诈骗分子准备好人设、交友套路等“猪饲料”,将社交平台称为“猪圈”,在其中寻找被他们称为“猪”的诈骗对象。通过建立恋爱关系,即“养猪”。最后骗取钱财,即“杀猪”。说白了就是诈骗分子和你先搞好关系,然后以“朋友”、“恋人”的关系去诱导你充钱到赌博网站,等你回过头来的时候他们已经销声匿迹了。

                                                                                                        

针对一次非法资金盘的攻击

最初看到朋友圈各种晒资金APP收入信息截图,怀疑是被骗了,好意提醒过她,结果之后就收到朋友的信息求助:

首先下载 App 去了解一下界面是什么样的:

发现这应该是一个 H5 打包封装的 app ,制定一下攻击流程:要么先找源码进行白盒测试要么就进行黑盒测试!

常见的获取源码的平台有:互站网,源码之家,站长下载。不过这种类型的源码居多:

互站网针对这种类型的源码非常的多,不过这些源码都是基于 tp 框架 cms 二次开发的系统,

大致内容应该都是一样的!

从互站网发现了一套源码,询问客服能不能给一个演示站点。客服晚上发了一个演示站点和测试账户进行测试:

看起来和目标站点大致相同:

跟目标站点对比了一下,功能大致相同,出处内容不大。

针对演示站点的弱点排查进行后台模糊测试:

此处看到一处上传点:

不过上传限制了白名单上传,这个地方丢弃掉。在后台翻了一个遍,基本是白名单控制无法突破。

后续来到前台,看到有提交任务出有上传的功能:

先抓包分析查看:

于是凭借经验尝试修改“image/jpeg”为“text/php”试一试:

提交成功去看看能不能拿到shell:

前台没有图片链接信息,去后台看看:

同样也没有链接信息,可能是上传方式有问题,再重新试试:

这次把jpeg改成PHP 再试试:

去后台看看发现有了地址:    

成功图片上传拿到 Webshell:

拿到 webshell 后把源码打包,之后进行代码审计,这是当前源码目录结构:

为了节约时间决定先找 getshell 漏洞,再找 sql 注入或者其他漏洞,因为这种漏洞能够快速拿到目标网站权限,通过代码审计看到会员中心有一处文件上传:

跟进 upload_base64 方法:

分析编码过来的base64流存不存在 data image  先前把image 改成了 text 所以才没有上传成功!这是目标站点页面信息:

通过审计出来的 0day 成功拿到网站权限:

拿到了网站权限于是就想钓鱼幕后杀猪盘黑手,通过利用Flash钓鱼手段获取管理员PC终端权限。

先是伪造了一个 Flash 官网:

然后诈骗团伙登陆后台后,会弹出升级Flash。

点击就会下载带有后门的恶意文件:

Flash 钓鱼原理就是这样,随后通过漫长等待目标终于上钩:

最终锁定了嫌疑人的 IP 和社交信息:

IP:118.xx.xx.43

通过大数据综合关联分析以及诈骗团伙终端资料,得出一些历史密码及社交信息。

在此已获取到嫌疑人所有社交信息,获取到目标宝塔权限,邮箱等...

进入数据库,将受害人手机号码导出,分析受害者分布地区:

可见全国各地都有不同的人上钩,在这里跟大家说一下一定要远离资金盘,远离赌博网站,这些都是“杀猪刀”,如果你”上钩“了,你也变成“猪”了!

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2