某群遇某产继而入侵某BC内网的奇妙故事

admin 2022年11月24日22:18:56安全文章评论12 views2219字阅读7分23秒阅读模式
某群遇某产继而入侵某BC内网的奇妙故事

免责声明

由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!


01 前言

近日无事闲逛,偶遇某群有人在招程序员帮忙写Exp和收shell啊收0day啊,又觉近日无文章可写,所以便尝试社会一波大佬。

首先呢先问问套路一下,看看他干啥的.

某群遇某产继而入侵某BC内网的奇妙故事

这个人想找人帮忙写批量的Exp

某群遇某产继而入侵某BC内网的奇妙故事

然后假装自己能写,先套路一波,进入角色,让对方以为我真的可以写。

某群遇某产继而入侵某BC内网的奇妙故事

这里呢,我说我自己搭建了一个站点,用于测试,然后叫他链接shell试试看看。是否OK!

某群遇某产继而入侵某BC内网的奇妙故事

接着该目标并未上线,他将我搭建的站点发送给了他们手下的其他两个人。

某群遇某产继而入侵某BC内网的奇妙故事


02 技术一号

(被我社工的这个黑产人员,实际不懂技术,他将我的钓鱼页面发给了他们手下2个技术人员,其中一个上线的估计是个虚拟机,另外一个上线的则是物理机。所以这里只钓鱼到了一台)

这里一共上线了2台PC电脑,他们拥有统一的外网IP出口,柬埔寨显示地点,目前不知道真假。这个人就是我们所谓的脚本小子黑客。给各位看看他的PC都有那些资料。

某群遇某产继而入侵某BC内网的奇妙故事

脚本木马

某群遇某产继而入侵某BC内网的奇妙故事

各类实名证件。

某群遇某产继而入侵某BC内网的奇妙故事

各种批量黑客工具。

某群遇某产继而入侵某BC内网的奇妙故事

黑帽SEO关键词

某群遇某产继而入侵某BC内网的奇妙故事

入侵用的各类VPS机器

某群遇某产继而入侵某BC内网的奇妙故事

各类网站的账户

某群遇某产继而入侵某BC内网的奇妙故事

03 内网拓展渗透

每一个进程都有一个环境块,其中包含一组环境变量及其值。有两种类型的环境变量,用户环境变量和系统环境变量。


arp -a 看了一下。发现了如下机器。10多台。

  192.168.1.1           78-44-fd-fd-55-b9     动态        
192.168.1.13 6c-8d-c1-18-aa-b2 动态
192.168.1.24 dc-2b-2a-c2-22-15 动态
192.168.1.42 8c-8e-f2-4f-26-8f 动态
192.168.1.54 b0-fc-36-29-f7-ab 动态
192.168.1.62 b4-d5-bd-b2-29-e2 动态
192.168.1.81 38-53-9c-ee-31-7e 动态
192.168.1.83 38-71-de-13-4f-d8 动态
192.168.1.92 cc-29-f5-bc-b8-c1 动态
192.168.1.119 cc-44-63-18-08-4c 动态
192.168.1.137 6c-72-e7-5e-f9-7e 动态
192.168.1.143 a4-d9-31-89-3d-c4 动态
192.168.1.149 48-3b-38-45-4d-22 动态
192.168.1.171 cc-29-f5-78-70-87 动态
192.168.1.178 00-b3-62-7d-11-f6 动态
192.168.1.206 b0-fc-36-30-79-7b 动态
192.168.1.233 e4-f8-9c-9f-61-fe 动态
192.168.1.243 dc-41-5f-05-fe-ef 动态
192.168.1.255 ff-ff-ff-ff-ff-ff 静态
224.0.0.22 01-00-5e-00-00-16 静态
224.0.0.252 01-00-5e-00-00-fc 静态
224.210.34.44 01-00-5e-52-22-2c 静态
239.11.20.1 01-00-5e-0b-14-01 静态
239.255.255.250 01-00-5e-7f-ff-fa 静态
255.255.255.255 ff-ff-ff-ff-ff-ff 静态

读取当前计算的WIFI账户密码看看

netsh wlan show profiles

    所有用户配置文件 : 2317RL-5G
所有用户配置文件 : 2317-ATA-5G
所有用户配置文件 : HUAWEI-D91C
所有用户配置文件 : TP-LINK_6A68
所有用户配置文件 : Airtel-E5573-8318
所有用户配置文件 : TP-LINK_88T8
所有用户配置文件 : TB-LINK-96A9

netsh wlan show profile name="输入上图配置文件名称"

某群遇某产继而入侵某BC内网的奇妙故事

继续信息收集。

这是一个上an网的黑客。

某群遇某产继而入侵某BC内网的奇妙故事

04 Or继续

在经过长达三天的监控后,发现该名黑客的盈利方式。这个人打开了一个博彩的代理管理平台,如下:

某群遇某产继而入侵某BC内网的奇妙故事

对他的账户经过分析,发现其是一个代理账户。然后下载其APP进行分析。发现上面都是一些:时时彩,以及一些赌博游戏,就跟赛马那种一样。只不过他这个是赛车。后台会生成大量的机器人,来制造很多人在跟你玩。

某群遇某产继而入侵某BC内网的奇妙故事

光机器人就达到了240多个。

在线的真实用户不到10个。

某群遇某产继而入侵某BC内网的奇妙故事

某群遇某产继而入侵某BC内网的奇妙故事

该名黑客每天的工作如下:

通过0day漏洞,例如最新的Ueditor的上传漏洞,IIS7.5的解析漏洞,DedeCMS的利用漏洞,等等各类批量化的漏洞,

其中使用的比较多的工具就是某批量化工具

某群遇某产继而入侵某BC内网的奇妙故事

某群遇某产继而入侵某BC内网的奇妙故事

某群遇某产继而入侵某BC内网的奇妙故事

然后上传他的BC页面,使用户下载APP,然后进入他所代理的房间。这样的话用户在该房间充值的钱都会算在这个代理的头上,从而实现盈利。

截至目前发稿,该名黑客仍在进行IIS7.5的解析漏洞。

某群遇某产继而入侵某BC内网的奇妙故事

导入了 300多w的网址在进行对Ueditor的上传漏洞进行批量化。

05 往期精彩

拿下色情APP团伙电脑并大数据分析H网


CS云函数及上线提醒


基于FTP的载荷投递


致敬,为爱冲锋的勇士!


网络安全威胁情报WiKi-免费欢迎加入

某群遇某产继而入侵某BC内网的奇妙故事

文章来源:黑无常

原文地址:https://www.hackdoor.org/d/216-bc

如需转载本样式风格、字体版权请保留出处:李白你好

原文始发于微信公众号(李白你好):某群遇某产继而入侵某BC内网的奇妙故事

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月24日22:18:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  某群遇某产继而入侵某BC内网的奇妙故事 http://cn-sec.com/archives/1422738.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: