点击👆蓝字关注我们学习更多预防电诈知识
这是给你最后的警告,如果今天还不打钱我就把你的照片和信息发给你通讯录的所有人.
求你了别发,我现在真没钱,我正在想办法借钱呢
我看你短信里明天发工资对吧,以后每个月的工资都必须打到我卡上,不然你就小心你所有的照片都发出去!
你发吧,发了我也没钱,我工资都给你了我还活吗
这样的套路是否似曾相识……
长夜漫漫,无心睡眠
不仅孤独的你睡不着
网络那边的"她"可能也睡不着
寂寞长夜聊天需谨慎
不久前,我们接到朋友求助
称在网上遭到了裸聊诈骗
一晚上的时间损失数万元
到底是怎样的骗局,一晚上居然就损失这么多财物
事情经过(以下用化名张三)
3月的一天,张三在浏览互联网时,突然接到一位陌生女子的好友申请。同意申请后,发现对方是一名单身“美女”,便立即与其畅聊起来。聊天过程中,“美女”对张三关怀备至,无话不谈,使得张三心花怒放,意乱情迷。
此时,“美女”提出要与张三视频聊天双方看看真人,但在视频聊天中"美女"暗示性的不断挑逗张三,短暂的视频聊天结束了,"美女"开始提出换个平台继续视频聊天,称QQ微信容易封号,并发送了一个链接让小王安装视频聊天软件。自觉桃花运爆棚的张三不假思索,立即点击安装。
一番操作后,张三打开了软件,注册完成后输入了"美女"提供的房间号,便开始了"视频聊天",随着话题不断的火热,双方渐渐褪去了衣物,短短几分钟后,旖旎的画面就消失了,取而代之的是一段语音:“兄弟,如果不想让我们把你的裸聊截图发给你家人,就打钱吧!”
▲该图来源网络(如侵权请联系删除)
为消灾,一夜转账数万元
随后实验室安全研究人员开始了对该APP的取证处理
Burp抓取应用交互数据包查看服务器地址,该App是直接IP通信
根据获取到的服务器IP地址进行全端口扫描,获取到服务器5001端口存在ThinkPHP框架编写的应用程序
使用用Dirsearch目录探测工具对服务路径进行探测,获取到管理后台地址/admin/common/login.shtml
有了后台地址又对其展开进一步的账户及口令枚举(该后台如果存在登录账户且密码不正确则会提醒账户密码错误,如账户不存在即提醒账户不存在),获取到账户:admin, admin888, admin666, admin6666等等十多个,但是密码都没有爆破成功
随后使用ThnikPHP组件漏洞进行测试.(只列出利用成功的Payload,还有很多Poc未测试,不做过多赘述,可以自行查询)
访问index.php?a=captcha修改ContentType:Content-Type: application/x-www-form-urlencodedPOST:数据内容_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd
几个命令ls, pwd 定位目录后写Shell进服务器,连上找服务器配置文件
传冰蝎直接HTTP代理连接数据库找密码
app_admin表存储了管理账户及md5密码值,定睛一看admin密码,这不是123456吗(e10adc3949ba59abbe56e057f20f883e),可能是爆破时验证码包放掉了导致验证码复用失败所以未爆破成功,随即再登入管理后台进行取证工作,后面发现后台也可以上传拿shell。
查看管理员名单
已有数千人下载该APP,通讯录获取四十万+
同时可通过查看通讯录群发短信,在线定位,下载短信,下载通讯录,甚至还可以查看相册及查看屏幕监控。
(建议放大查看图片)
可想而知,即便是未通过应用进行视频聊天,仅仅下载了该应用,也会对张三的生活及身边朋友造成影响.而进行了"视频聊天"的人可能就会收到以下短信。
▲图片来源网络与本文无关
“裸聊APP”诈骗勒索套路
事件最后,对于该站点信息进行脱敏展示作警示,已在后台添加XSS钓鱼等待确认运营人员身份,后与合作警方同步了案件信息,进行进一步的合作.
“裸聊”交友套路深
果断拒绝才是真
不听、不信、不转账!
本文始发于微信公众号(聚鼎安全):谨防电信诈骗!裸聊APP案例
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论