记一次灰产邮件反制

  接到客户反应，有人在进行邮件钓鱼，并且钓鱼文案十分逼真。担心有员工中招，于是想让我们进行溯源应急。

钓鱼邮件

邮箱账号登录异常提醒

点击链接后，显示网页为：

此时就是常规渗透方案，扫端口，扫目录。这类钓鱼网站都很简单，一般只是简单的增删改查功能。

发现为Thinkphp3.2.3

不幸的是，该版本Thinkphp我们拿不下，于是卡了一阵子。

峰回路转

Thinkphp的常规打法就是翻日志。

找到管理员登录IP，这里需要多看日志进行判断，因为是直接操作的后台地址中的一些控制器，所以基本可以锁定。

从日志中搜索password等字段，发现出现了我们要的东西。

并且观察数据库语句，也绝对是正确的。可惜，md5无法解密。

陷入困境，但是我们继续审查日志，会发现admin的密码一直有在变化。

说明管理员定期有在修改密码，防范意识还挺强。

拿下后台

这里我们发现，我们近期管理员修改的那次密码，无法解密。但是前面五次密码，都可以解密。结果分别为：

wsx987..qaz3369..uiop...QAZ3369..wsx3369

可以看出，3369这个数字出现频率很高，其次就是wsx和.。

我们对这几个组合进行拆分后的排列组合，最终后台密码组合为：wsx3369...

成功登录后台，发现该灰产组织，对政府、金融、企业、高校都进行了钓鱼邮件攻击，并且已经有大量人员进行填写。

该组织循环利用受害者的邮箱，继续发送钓鱼邮件，类似某大型企业被钓鱼事件。

欢迎关注我们团队的公众号“渝安服”，原创技术文章和漏洞通告做到第一时间推送。

原文始发于微信公众号（渝安服）：记一次灰产邮件反制