从上游到下游全过程(上)

本文为真实内容仅代表个人观点与任何团体、公司无关。应该会很快再次删文！

对目标站点实现端口扫描后未发现其开放有用端口，仅为80&443罢了。

后续在查看该域名pdns历史数据后发现值得注意

对其IP进行再一次的端口扫描+title的获取

（发现开放的端口还是比较多的）

(发现疑似上游技术人员的demo)

获取QQ号及WeChat号

加上WeChat后与他进行一番对话后获取到付款二维码

这里值得注意到的是付款码当中包含*xx的名字，在转账一分钱后从网站上可见对方信息

结合漏洞遍历中间四位数即可获悉完整手机号，具体漏洞因某些原因不方便透露仅供思路参考。有了完整手机号可通过sg*bot等方法获悉是否存在信息泄漏以掌握更多具体信息。

在上述demo站点中发现技术开发人员曾分享在某云笔记

现在基本掌握开发人员主要信息，但这不太算得上是我们的侧重点

XSS to PC

已知目标站点存在XSS漏洞，但仅拿到管理员的cookie似乎作用并不是最大的。

(后台查看插入XSS语句后效果)

在某些情况下员工安全意识微薄所以结合“骗”的手段会再好不过。

关于仿冒Flash站点和client客户端的结合本文不再撰述，网上已有较多类似文章，本文仅供总结。

(经过时间的等待)

查看其一端口开放情况

发现存在135、445端口后，上ew结合SocksCap64对内网进行横向SMB漏洞扫描。无果

对多台机器采取录屏操作以便获取和掌握更多信息

发现内部使用的语音呼叫系统

发现至少有不少于10个的客服(话务)组

后续更换下述系统

(呼叫系统还包含大量话术剧本)

你以为仅仅这么简单吗？

通过打电话获取有意向客户后让用户加其QQ/WeChat进行下一步行骗

(包含其话术剧本)

arp -a自动在缓存中读取IP地址和mac地址的对应关系表

数据清洗留MAC地址

PC

v***手机

O***手机

小m手机

话机设备

根据mac地址关联分析出一批手机号：

131*****34

135*****426

170*****310

173*****364

187*****352

130*****632

153*****405

156*****879

166*****911

188*****292

132*****510

184*****316

再根据上述手机号关联分析出人

手机号188*****292

真实姓名:蒙**

邮箱:md*********om

手机:18**********蒙]

地址:深圳**********7楼

QQ绑定:18*****06

绑定手机:18**********圳]

往后的一段时间观察里，发现使用新的网站(丢失getshell、提权过程[捂脸])

新的技术人员搭建约近50个站点，配置基本是xxx.ynx***.com:32 

后续将放出中游售卖信息时溯源过程及下游剩下的部分，未完待续…

本文始发于微信公众号（逢人斗智斗勇）：从上游到下游全过程(上)