[成都难有的好天气,也算是秋高气爽了吧]
大家好,我是阿信。
上周,我的老板收到了一封钓鱼邮件.
这封钓鱼邮件很有针对性,就是瞄准着公司高管来的。
比较幸运的是,我们团队的安全内宣工作做的还不错。
公司员工安全意识都比较好。
老板收到邮件没有做任何事情,直接把这封邮件转发给了安全团队,让我帮忙确认下是不是钓鱼邮件。
我看了下发件人邮箱地址,"一堆随机字符串@gmail.com",这一看就不是什么正经邮件。
邮件内容中有个链接,我在安全环境的浏览器中打开了。
链接跳转了两次,最终落在“阿里云企业邮箱” 登录页面,如下:
是不是还看着还挺逼真的?
但是左上角的域名出卖了它,域名我打码了(这个域名没有在国内备案),但是攻击者为了具有迷惑性,还是在域名中加入了“qiye-aliyun”的字样。
并且,在跳转到这个页面时会自动填充我老板的邮箱账号,这样我老板就只需要输入一个密码就上钩了。
不得不说,这是一个很好的设计,减少了用户的操作成本。
到这里已经足够确认这是一封钓鱼邮件了,我把这个网页的截图和阿里云企业邮箱的截图发给了老板并做了一些说明。
本来一切到这里应该结束了。
但是,我想了下会不会已经有其他人中招了,我要不要给这个“境外黑客”捣点乱?
我一开始的想法是跑个脚本,给他的数据库里写点脏数据进去,让他搞不清楚哪些是真的钓鱼成功的账号密码。
于是我在这个页面输入了假的账号密码,通过浏览器控制台可以看到请求发送到了post.php这个文件:
响应中直接返回“data saved successfully”,好家伙,装都不装了是吧。
看到是个php的站,有种莫名的意味。
一是好久没接触php的东西了,有种新鲜感。
二是感觉php的站漏洞应该不会少,可以进一步看看。
我一边扫目录,一边随意浏览,发现通过GET请求方式访问post.php直接通过报错信息把绝对路径给爆出来了。
而绝对路径中我注意到有“Ampps”字样,我当时也不知道这是个什么,就去搜了下,发现是一套网站开发部署的集成环境。
类似于wampserver、phpstudy。
去搜了下ampps的Nday漏洞,只有一个拒绝服务漏洞,而且好像没有PoC,感觉不太好玩。
中途随意浏览,感觉没啥东西,正好也下班了,就放一边了。
但是第二天早上发现忘记关目录扫描了,在某个目录下扫出来个phpinfo页面。
通过翻phpinfo,我逐渐感觉部署这个钓鱼站的“境外黑客”是个小白。
这又让我来了兴致,“要不再去看看ampps吧,这里应该是个突破口”。
我去查了下ampps的文档,发现ampps有个管理页面,于是我在钓鱼网站页面输入了管理页面的路径,您猜怎么着?
没有任何密码,直接就进来了,这你受得了吗?
管理页面可以跳转到phpmyadmin,而且phpmyadmin跳转就可以访问,不需要任何密码,还是个root用户,这你又受得了吗?
后面就是通过mysql写文件的手法写个小马到www目录了,只不过他用的php版本比较高,不能直接通过“select into outfile”的方式写,但是可以用向日志文件中写shell的方式写入php代码。
shell文件特征也不能太明显,不然会直接被杀掉,随便在网上找了个免杀的蚁剑小马就成功写入了。
蚁剑连接上去,我直接就成了尊贵的Administrator用户,这你受得了吗?
通过查看他主机上的目录可以看出来,这位不仅做了阿里企业邮箱的钓鱼网站,还有QQ邮箱的钓鱼网站。
一个用来复制网站,一个用来写后端代码。
我一开始以为这个钓鱼网站是把钓到的账号密码都存储在数据库中的。
结果拿到phpmyadmin后发现mysql中除了默认的几个库之外没有其它库了。
所以去看了下他的post.php文件内容,他直接通过API把每一次钓到的密码发送到了telegram群里。
蚁剑有好些Bug,命令行操作起来非常不方便,特别是遇到带空格的目录,根本就切换不进去。
看起来蚁剑在处理空格上确实有一些问题。
所以,我想进一步,要不直接远程桌面连接上去吧?
一开始想的还挺复杂,毕竟是托管在CloudFlare上的,可能有防火墙啥的,会拦截远程桌面端口,需要做端口转发。
结果netstat一看,好家伙,3389端口直接公网开放,好像在说“Welcome to fxxx me”。
于是我直接在Webshell里用我尊贵的Administrator用户新建了一个用户。
就这么进去了:
最后,我把自己的痕迹清理了下,走人。
说实话,整个过程没啥技术含量。
但是这种别人想搞你,你反过来把他搞了的感觉真的挺让人上头的。
也许,真实环境里的对抗才是搞安全最大的乐趣所在吧。
以上内容纯属个人杜撰,请勿模仿!
推荐阅读:
公司裁了几个老员工,我才发现:所有的竞争到最后都是人格的竞争
原文始发于微信公众号(一个安全研究员):“境外黑客”给我发钓鱼邮件,我顺着网线黑掉了他的系统
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论