🔰0x01 前言
在近十年来,盗号问题层出不穷,相信大家多多少少经历过被盗号或者身边的人被盗号,今天就带大家起底盗号背后的黑色产业链!
🔰0x02 模式
在不法分子盗取QQ号后,一般来说主要有三个用途
✅涉黄
✅涉赌
✅涉诈
在这三个暴利的灰色产业链驱使下,衍生出了这一黑色产业
🔰0x03 分析
2022年5月-6月,发生了一场大规模的盗号事件,该犯罪团伙利用盗来的QQ号批量给好友,QQ群发送涉黄涉赌的信息。在当天,我就对此次攻击行为做出研判。
🔰0x04 研判结果
外界还是有不少谣言说是通过腾讯的什么漏洞盗号,或者什么未授权获得加密key进行批量发信,其实这些可信度极低。我的研判结果是'撞库'!
为何得出结论是撞库呢?因为我事后询问了多人是否长期未改过QQ密码?得到的答案都是一致的,这也证实了我的猜想。
🔰0x05 什么是撞库
就是使用外界泄露的数据,跟你的QQ号密码进行匹配,如果账号密码一致,就成功登入了你的QQ。
假设某某数据库泄露了邮箱跟密码,黑色产业链的人先是提取了由QQ邮箱作为注册邮箱的账号,把QQ号提取出来,和泄露的密码进行匹配
🔰0x06 犯罪模式
最开始讲过盗号的三个常见犯罪模式,涉黄,涉赌,都很好理解,这里主要讲一下涉诈。涉诈一般分为这几种套路
✅假扮亲朋好友,XXX出事,在医院急需用钱
✅微信支付宝换钱,制作假的银行卡转账截图
✅假扮熟人借钱
🔰0x07 钓鱼式盗号
近年来被撞库的号已经不满足于黑色产业链,于是发展出了钓鱼式盗号。这是一个被盗号的学生发在自己班级群、校友群的盗号信息截图
🔰0x08 裂变
假设犯罪团伙手上有100个被盗的QQ,经过钓鱼式盗号,进行裂变,一生百,百生千。用100个QQ号可裂变为盗走成千上万个号。
🔰0x09 深挖钓鱼式盗号
首先,扫描盗号二维码,出现了一个登录页,足够以假乱真的登录页。
登录后,需要填写个人信息(为接下来的涉诈环节做铺垫)
🔰0x10 开端
通过特殊手段,拿到了盗号网站源码,进行代码审计
这时候发现盲打的XSS有了回弹,管理员登入后打到了cookie
这时候也顺利进入后台
尝试上传点后,以失败告终
转战源码这块
后台多处注入,但是权限不足,无法拿shell
🔰0x10 获取权限
在源码里,翻到一个帝国备份王,根据经验,这帝国备份王可以通过万能cookie进入,于是尝试使用万能cookie
ebak_loginebakckpass:119770adb578053dcb383f67a81bcbc6 ebak_bakrnd:35y5cCnnA4Kh ebak_bakusername:admin ebak_baklogintime:4070883661
成功进入后台后,准备拿服务器权限
1.本地起一个mysql服务,在网站连接
2.点击备份
3.这里填写你备份的名称,也就是等下连接webshell用的
4.点击管理备份-替换文件
?>替换成?><? webshell ?>
webshell路径:
http://127.0.0.1/config/sbak/bdata/备份设置的文件名/config.php
成功获取服务器权限
取证后交由衙门
🔰0x10 尾声
上面拿盗号服务器的过程文章,是我22年年初和土司兄弟一起完成的。后来不知道怎么就出现在了各个公众号。最近开了自己的公众号,也就再发一次。
🔰0x11 警示
了解了盗号的套路后,可以分享给亲朋好友看一下,谨防上当受骗。文章内容仅供学习,使用技术做任何违法犯罪行为由自己承担法律责任。
原文始发于微信公众号(安全社):起底盗号背后的黑色产业链
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论