记一次溯源

枫少@KillBoy 2022年3月17日02:47:40分析溯源来源:银河护卫队super评论浏览量:684次
高性能云服务器2折起

 

记一次溯源

前言

记一次溯源

之前在客户处驻场时梦见过一次黑产溯源,由于是梦中遇见,所以可能部分内容有不可抗力的缺失或者强马赛克。

 

记一次溯源

一、溯源背景

记一次溯源

 

记一次溯源

背景

某日收到客户要求,说有不法分子使用客户logo并冒充客户诱导受害者下载贷款APP从而诈骗客户财产,涉案金额较大,希望能对不法分子进行溯源

 

记一次溯源

二、溯源过程

记一次溯源

 

记一次溯源

1、首先收到的是一个APP下载链接和一个虚假的留言板,打开后样子大概如下:

记一次溯源

记一次溯源

2、进行域名查询

第一步先对该下载链接的IP和域名进行查询,发现还关联过不少搞颜色的站点,基本上确定了是个黑产。

记一次溯源

记一次溯源

3、扫描端口

接着对该IP进行了简单的端口扫描,发现数个端口均存在无法访问的HTTP服务,后来经过测试发现是只允许手机端进行访问,因此修改UA头便可以绕过,这里推荐一款插件“User-Agent Switcher and Manager”,可以轻松修改请求的UA头。

记一次溯源

记一次溯源

4、万能密码登陆

修改UA可以访问后,在60XX端口发现了一处登录页面,使用万能密码便可以登录到后台。根据后台信息发现,这可能只是一个用于生成管理二维码的页面,并且其中的手机号等信息也是虚假的,因此无法直接定位到服务器主人。

记一次溯源

记一次溯源

记一次溯源

5、发现存在逻辑漏洞

因为有万能密码,看完后台准备跑一波sqlmap,结果刷新一下403了......这个IP的其他端口访问也同样变成了403。因此转头去试试留言板的IP有没有突破点。在留言板所在IP的8090端口中又发现了一个后台登录页面。该页面存在一逻辑漏洞,通过修改登录的cookie信息可以登录到后台。

记一次溯源

记一次溯源

6、发现受害者信息

在当前后台中发现了大量的受害者信息,包括:受骗金额、姓名、身份证号、借款理由等信息。其中还有受害人借款理由是由于病重借款,但是他没有想到等来的借款而是骗子。

记一次溯源

记一次溯源

7、发现后台存在文件上传

在该后台中又发现一处文件上传功能,但是无论是上传何种格式的文件均无反应,这时想起在之前该网站的Thinkphp的报错页面中发现过该网站上传文件的请求地址,因此尝试编写from表单来进行文件上传。

记一次溯源

记一次溯源

8、提权查找信息

由于当前shell权限为www,对其进行提权后翻找网站源码,寻找数据库账号密码并导出更多的受害者信息。

记一次溯源

记一次溯源

9、源码打包进行代码审计

由于服务器中部署的网站较多,通过翻找无法快速的寻找有用的信息,因此将服务器中的所有网站源码打包下载到本地进行审计。

记一次溯源

记一次溯源

三、结果

    记一次溯源

 

    最后在源码中获取到了黑产人员的某些敏感信息并最终成功,因为过于敏感就不再详细说明。整改溯源过程相当去本文只列出了攻击成功的部分,但这次溯源过程中,不法分子有极强的警觉性与应急能力,在我们对其进行溯源攻击的时候,不法分子也在对我们利用的漏洞及shell进行修补清理,从而对我们的溯源攻击造成了一定的影响,甚至某个漏洞在10分钟内就被发现修补了。对黑产的溯源不只是简单的渗透测试,有时还会是实时的攻防对抗,只有自己平时多学习,才能应对各种情况。

高性能云服务器2折起
枫少@KillBoy
高性能云服务器2折起
匿名

发表评论

匿名网友

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: