针对某非法钓鱼诈骗网站渗透测试

0x01 前言

我们在交易猫平台上发现有不法分子引导购买者在平台外进行交易，并试图通过钓鱼网站对受害者实施诈骗。

0x02 开始摸索

先是通过交易猫引导受害者添加QQ 5***483：

我们去搜索他发给我们的QQ号，加他们QQ后会通过话术引导你点击他们搭建的钓鱼网站

以下是与非法分子简单的 聊天记录

我们打开他们的网站后发现，这是一个伪造交易猫的钓鱼网站。

0x03 开始渗透

既然知道了钓鱼网站，也就开始了我们打点的旅途。首先对于这类站点，我的思路是获取源码。根据站点信息我们知道这是一个交易猫的钓鱼网站，可以通过关键词信息在搜索引擎中检索出相关内容。

根据搜索引擎检索结果，并与目标网站结构进行比对，确认是同一套源码。

进入我们的代码审计环节！

通过代码审计我们发现存在多处SQL注入，例如在/jym-wn/dd.php文件中可以直接通过Cookie传参的方式直接进行SQL注入

通过这个SQL注入漏洞我们可以直接获取数据库的所有内容，包含后台用户名密码等信息

但是我们无法定位到站点的后台地址，所以需要结合其他漏洞一起。于是我们就开始尝试挖掘其他的漏洞

在/xy/index.php中我们发现HTYP参数值会被Include作为参数执行，即存在任意文件包含漏洞

但是在这里要进入文件包含流程需要先满足一下前置代码的逻辑，即变量$_GoodsID不能为0否则程序就会退出，该变量的值是由SQL语句查询结果提供的，并且在SQL语句的拼接中存在SQL注入，所以我们可以使用逻辑或的语法使得返回结果不为0。

也就是请求/xy/index.php?ClickID=' or '1

这个路径就可以进入到文件包含的流程。为了扩大危害，我们对源码进行阅读，发现其存在一个重要的配置文件 /config/Conn.php，在该文件中的$_AR变量就是存储的后台文件路径。

所以我们可以构建出如下的请求来通过PHP文件包含伪协议的方式读取该配置文件内容

# Payload: 
/xy/index.php?ClickID=' or '1&HTYP=php://filter/read=convert.base64-encode/resource=../config/Conn.php

这里是以Base64编码形式讲读取的文件内容返回，进行解码之后我们就可以看见后台路径为 admin-Talker

我们使用SQL注入获取的后台密码在后台进行登录，成功登录（这里也存在一个脆弱的凭证校验，即当Cookie中包含Aname=真实的用户名，则可以直接访问后台）

在后台处我们发现存在一处文件上传，可以上传任意内容的图片文件。

直接祭出Burp大法，进行文件上传找到路径

通过上传恶意内容的图片文件，结合上文中的文件包含漏洞即可获取Webshell权限，最终构建出Webshell地址

http://xxxxxxx.site/xy/index.php?ClickID=%27or%271&HTYP=../tuku/166779294611244.jpg

探针植入

我们在只有犯罪份子知道的后台页面中加入探针，等待目标进入后台即可获取到访问IP等信息

画像信息

如下图所示我们已经获取到目标的真实IP

最终梳理出目标信息如下:

操作系统：iOS 16.0.3
浏览器：Safari(版本:16.0)
设备：iPhone
IP地址：223.152.245.75（湖南省郴州市汝城县）

IP高精度查询：
半径：27678.4米
纬度：25.557673
经度：113.570504
详细：湖南省 郴州市 汝城县
精确：湖南省郴州市汝城县 山牛塘东南641米