实战 | 记一次失败的钓鱼溯源

admin 2022年6月17日19:53:23评论25 views字数 2712阅读9分2秒阅读模式

故事起因

这天风和日丽,我正在摸鱼,忽然QQ群弹出一条消息,我打开一看,我感觉不简单。如下图:

实战 | 记一次失败的钓鱼溯源
image-20220615215022845

扫码后发现跳转到了QQ邮箱登陆界面,确定为钓鱼网站,看到其域名为http://xxxxxxxxxkak2.cn。

实战 | 记一次失败的钓鱼溯源
image-20220615220043814

这里随便输入,页面跳转到如下界面。

实战 | 记一次失败的钓鱼溯源
image-20220615220253245

好家伙,小伙子你挺会玩啊,收集完QQ邮箱账号密码,再来收集一波个人信息,做人不能太贪心啊。开始干活!

溯源钓鱼者

我们现在拿到了他的域名,现在收集一下域名的相关信息。使用站长工具,如下图。

实战 | 记一次失败的钓鱼溯源
image-20220615221118322

可以查到域名注册人的姓名和邮箱。邮箱显示不全,这里再通过微步来进行一下查询。如下图

实战 | 记一次失败的钓鱼溯源
image-20220615221519271

这里有两点可以关注一下,这里拿到了完整的邮箱和知道了这里是阿里云的。

进行一下邮箱反查,发现该邮箱下在五六月份注册多个域名,姓名都是刘聚达,大概率都是用来钓鱼的。

实战 | 记一次失败的钓鱼溯源
image-20220615225415345

尝试添加QQ,发现查不到这个人,这就尴尬了。

实战 | 记一次失败的钓鱼溯源
901655305036_.pic

关于钓鱼者的信息收集就告一段落,接下来开始干它网站。

进攻钓鱼网站

之前我们拿到了域名,现在对网站进行渗透,那思路是什么呢?我们可以进行一下子域名、目录等扫描,如果没什么信息,那就开始对钓鱼网站本身看看有没有能利用的地方。

首先进行一下子域名扫描,没什么发现,如下图:

实战 | 记一次失败的钓鱼溯源
image-20220615231308254

然后开始对域名进行一下目录扫描,如下图

实战 | 记一次失败的钓鱼溯源
image-20220615231928799

扫出来的目录,基本没有权限,都是403。没什么利用的点。

现在看来只能对网站本身进行一下渗透了,看看有没有能够利用的。现在打开收集个人信息的表单,按F12看看有没有我们值得关注的,如下:

实战 | 记一次失败的钓鱼溯源
image-20220616093416170

之前目录扫描发现了uploads目录但是没有权限,这里找到了uploads/ads路径,尝试一下这里路径后端是否接收文件,构造上传数据包,发送数据,还是失败了。如下:

实战 | 记一次失败的钓鱼溯源
image-20220616094152589

不要灰心,接着搞,我们还发现这里使用了form表单提交数据,然后自定义了一个函数chk(),现在我们跟进这个函数去看一眼。如下

实战 | 记一次失败的钓鱼溯源
image-20220616090926206

在这里我们能够了解到,网站使用了ajax来进行数据传输,将数据提交到了本站的wap目录,然后身份证号码进行了一下简单的正则判断,规定输入为数字且位数为18位。既然是将数据提交到本站了,「那么如果钓鱼者再后端接收数据时直接将参数拼接到SQL语句中,那么就可能存在SQL注入。」现在我们构造数据,提交数据,然后抓取数据包来进行测试,抓取的数据包如下:

实战 | 记一次失败的钓鱼溯源
image-20220616094601332

接下来开始测试是否存在SQL注入,name参数后添加单引号,发送数据,发现报错,存在SQL注入!

实战 | 记一次失败的钓鱼溯源
image-20220616095638242

猜解一下数据库名,数据库版本,构造payload


' and updatexml(1,concat(0x7e,(select database()),0x7e),1)%23

and updatexml(1,concat(0x7e,(select @@version,0x7e),1)%23

实战 | 记一次失败的钓鱼溯源实战 | 记一次失败的钓鱼溯源

数据库名是a7,猜解一下表名,构造payload如下

'and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='a7')),0)%23

发现无法获取表名,我有一种不详的预感。

实战 | 记一次失败的钓鱼溯源
image-20220616102310152

果然换用一些其他的函数,发现也是无法获取表名,可能是没有权限。真让人伤心,这个老六。

现在用sqlmap跑一下吧,结果如下

实战 | 记一次失败的钓鱼溯源
image-20220616114030466

只能跑出来a7这个数据库,information_schema这个库获取不到,怪不得手工注入也拿不到表名呢。唉,现在尝试一下os-shell吧,看看有没有运气。如下

实战 | 记一次失败的钓鱼溯源
image-20220616114515695

看来运气并不好,失败了。不过,虽然失败了,但是我们也知道了现在的服务器系统为Linux,并且有了路径,我们就把它当成绝对路径吧,死马当活马医,看看能不能写入文件,构造payload:

into outfile '\www\wwwroot\pxxxxx*7.axxxxxxxka.cn\config\wap\test.php' FIELDS TERMINATED BY '<?php phpinfo();?>'%23

结果如下,还是失败了。

实战 | 记一次失败的钓鱼溯源
image-20220616115559495

又尝试了一些其他的方法,发现收获不大,看来只能进行到这里了,无法拿下它服务器了。不过,作为一个社会主义爱国好青年,既然无法拿下,那就向他数据库插个几千万条脏数据吧,恶心死他。开干,将收集个人信息的数据包,转发到 intruder模块,设置好参数,这里就设置fq_phone和mq_phone这两个参数吧,如下

实战 | 记一次失败的钓鱼溯源
image-20220616120320418

加载字典,插它个六千万条数据吧,如下

实战 | 记一次失败的钓鱼溯源
image-20220616120523666

开始插入!如下

实战 | 记一次失败的钓鱼溯源
image-20220616121017716

小结

关于这个钓鱼溯源,就写到这里吧,遗憾的是自己没有拿下对方服务器,大家有什么其他的骚思路可以私信我,一起学习,一起成长。

- END -

【往期推荐】

漏洞复现 | CVE-2022-24990信息泄露+RCE(POC已公开)

漏洞复现 | CVE-2022-0847内核提权漏洞(POC已公开)

漏洞监控平台——Monitor(源码在文末)

使用poste搭建自己的邮件服务器

实战 | 一次杀猪盘的拿shell经历

DC-1靶机实战和分析

实战|一个表白墙引发的“血案”

原文始发于微信公众号(小艾搞安全):实战 | 记一次失败的钓鱼溯源

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月17日19:53:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战 | 记一次失败的钓鱼溯源http://cn-sec.com/archives/1120879.html

发表评论

匿名网友 填写信息