针对某非法钓鱼诈骗网站渗透测试

admin 2024年5月19日22:42:35评论10 views字数 1527阅读5分5秒阅读模式

0x01 前言

我们在交易猫平台上发现有不法分子引导购买者在平台外进行交易,并试图通过钓鱼网站对受害者实施诈骗。

0x02 开始摸索

先是通过交易猫引导受害者添加QQ 5***483:

针对某非法钓鱼诈骗网站渗透测试
针对某非法钓鱼诈骗网站渗透测试

我们去搜索他发给我们的QQ号,加他们QQ后会通过话术引导你点击他们搭建的钓鱼网站

针对某非法钓鱼诈骗网站渗透测试

以下是与非法分子简单的 聊天记录

针对某非法钓鱼诈骗网站渗透测试

我们打开他们的网站后发现,这是一个伪造交易猫的钓鱼网站。

针对某非法钓鱼诈骗网站渗透测试

0x03 开始渗透

既然知道了钓鱼网站,也就开始了我们打点的旅途。首先对于这类站点,我的思路是获取源码。根据站点信息我们知道这是一个交易猫的钓鱼网站,可以通过关键词信息在搜索引擎中检索出相关内容。

针对某非法钓鱼诈骗网站渗透测试

根据搜索引擎检索结果,并与目标网站结构进行比对,确认是同一套源码。

针对某非法钓鱼诈骗网站渗透测试

进入我们的代码审计环节!

3.1 审计SQL注入

通过代码审计我们发现存在多处SQL注入,例如在/jym-wn/dd.php文件中可以直接通过Cookie传参的方式直接进行SQL注入

针对某非法钓鱼诈骗网站渗透测试

通过这个SQL注入漏洞我们可以直接获取数据库的所有内容,包含后台用户名密码等信息

针对某非法钓鱼诈骗网站渗透测试

但是我们无法定位到站点的后台地址,所以需要结合其他漏洞一起。于是我们就开始尝试挖掘其他的漏洞

3.2 任意文件包含

/xy/index.php中我们发现HTYP参数值会被Include作为参数执行,即存在任意文件包含漏洞

针对某非法钓鱼诈骗网站渗透测试

但是在这里要进入文件包含流程需要先满足一下前置代码的逻辑,即变量$_GoodsID不能为0否则程序就会退出,该变量的值是由SQL语句查询结果提供的,并且在SQL语句的拼接中存在SQL注入,所以我们可以使用逻辑或的语法使得返回结果不为0。

针对某非法钓鱼诈骗网站渗透测试

也就是请求/xy/index.php?ClickID=' or '1

这个路径就可以进入到文件包含的流程。为了扩大危害,我们对源码进行阅读,发现其存在一个重要的配置文件 /config/Conn.php,在该文件中的$_AR变量就是存储的后台文件路径。

针对某非法钓鱼诈骗网站渗透测试

所以我们可以构建出如下的请求来通过PHP文件包含伪协议的方式读取该配置文件内容

# Payload: 
/xy/index.php?ClickID=' or '1&HTYP=php://filter/read=convert.base64-encode/resource=../config/Conn.php
针对某非法钓鱼诈骗网站渗透测试

这里是以Base64编码形式讲读取的文件内容返回,进行解码之后我们就可以看见后台路径为 admin-Talker

针对某非法钓鱼诈骗网站渗透测试

我们使用SQL注入获取的后台密码在后台进行登录,成功登录(这里也存在一个脆弱的凭证校验,即当Cookie中包含Aname=真实的用户名,则可以直接访问后台)

针对某非法钓鱼诈骗网站渗透测试

3.3 获取站点权限

在后台处我们发现存在一处文件上传,可以上传任意内容的图片文件。

针对某非法钓鱼诈骗网站渗透测试

直接祭出Burp大法,进行文件上传找到路径

针对某非法钓鱼诈骗网站渗透测试

通过上传恶意内容的图片文件,结合上文中的文件包含漏洞即可获取Webshell权限,最终构建出Webshell地址

http://xxxxxxx.site/xy/index.php?ClickID=%27or%271&HTYP=../tuku/166779294611244.jpg
针对某非法钓鱼诈骗网站渗透测试

3.4 溯源身份

探针植入

我们在只有犯罪份子知道的后台页面中加入探针,等待目标进入后台即可获取到访问IP等信息

针对某非法钓鱼诈骗网站渗透测试

画像信息

如下图所示我们已经获取到目标的真实IP

针对某非法钓鱼诈骗网站渗透测试

最终梳理出目标信息如下:

操作系统:iOS 16.0.3
浏览器:Safari(版本:16.0)
设备:iPhone
IP地址:223.152.245.75(湖南省郴州市汝城县)

IP高精度查询:
半径:27678.4米
纬度:25.557673
经度:113.570504
详细:湖南省 郴州市 汝城县
精确:湖南省郴州市汝城县 山牛塘东南641米

原文始发于微信公众号(不懂安全的校长):针对某非法钓鱼诈骗网站渗透测试

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月19日22:42:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   针对某非法钓鱼诈骗网站渗透测试http://cn-sec.com/archives/2021037.html

发表评论

匿名网友 填写信息