0x01 前言
这天无聊闲逛,学习技术,无意间在某公众号下看到有赚钱的信息
但是,当我打开后,文章被作者删了,好巧不巧的是,有位师傅保存下来了广告图,图就不发了,别再因为这个文章被和谐
什么是杀猪盘:我们近几年经常听到的反诈,骗子无时无刻不在骗子首先会开发虚假的"投zi"、"理cai"网站接着会找准定位群体,以多种千奇百怪的方式让你变成那头"猪"前期让你尝到甜头,后期等你上头后拉黑删除
以下是这个杀猪盘的网络拓扑,结尾会有相关的反诈及架构拓扑
* 文章仅供参考,勿违规对正常网站进行非法测试,后果自负
0x02 情节发展
首先,拿到的是所谓网站的下载链接 a.targetxzapp.com,下载后可以申请福利,申请福利需要再次下载那个客服APP,其实都是网页类型,有个APP显得高端,后来通过抓包看到WEB地址,直接访问首页是这个
后面url加上page/ 后看到了所谓的首页,首页非常简单,就是PHP,除了支付接口调用以外,其它非常简单
一个所谓的弘马产业页面,冒用名义(后经过拉数据后,能看到一些日志,发现源码就是套壳,就是改个名)
香港亚马逊云(无安全设备)、无CDN、TP框架、VUE
既然是TP框架,我们先让它报错,可以看到我们能看到报错payload
注册了个账号,没有验证模块,但是发现,不管干啥都得实名
想着乱写个信息,结果后端竟然可以校验
算了,先不管了,没有上传点,因为VUE特性容易未授权,想着看看能不能测出来点敏感信息,结果都是关于用户的,陷入僵局
然后就看注入点,因为TP框架当请求有问题的时候会报错,我们在登录的时候,输入万能密码,直接保存,看到了执行的SQL语句
他这里用到了括号,我们可以用括号进行闭合select * from user where (phone=1) order by id asc limit 1;select * from user where (phone=') OR NOT 1063=1063# 被注释) order by id asc limit 1;
用sqlmap直接跑即可,为了更清晰的验证,使用时间盲注的payload确实可以
库里面的admin表中是弱口令,奈何扫了一夜都没找到后台
因为他们把很多操作日志和前端的一些编码都存到数据库里面了,所以我想看看有没有所谓的管理员操作日志,干脆把数据能梭的都梭出来
因为前端没有上传入口和尽我所能找到的RCE入口(太菜),在想,能不能通过SQLmap进行getshell
真的笑了,os-shell竟然没有权限写入,看一下基本信息,还不是DBA权限,这开发上线前做等保了吧
本想用sql-shell看一下能不能通过udf拿shell,结果有很多命令语句不能执行,因为他的版本是5.6,好像在mysql的5.5.3后限制了很多,当前版本默认禁止导入导出文件,udf提权也不行
在扫到test.txt文件后,看到是充值账单,看到seller_email字段中收款邮箱,查了一下是企业实名的,不知道这个企业是被冒用了还是什么
然后,在库中看到用户的提现和操作日志,看日期这一个库应该套壳了很多站,看提现记录都是失败,你说你充进来的钱还能提出来吗,根本不可能,提现去阿富汗啊铁铁
在user表中看到,userid为1的用户,注册地址是在越南,IP地址是27.77.xx.x,越南胡志明,但是不知道他是挂的IP还是什么,因为是动态IP,不固定,没看出来什么。
通过user表我们还能看到他人的绑卡信息,以及余额信息,最高有充了8000,看数据库日志,好像是刚搭建的,有很多都像是虚假的信息,机器人用户
还有两个ZFB公钥和私钥,这玩意没用过,不知道咋利用,其它的没有什么能研究的了,无非就是历史操作记录和用户一些个人信息了,没有找到admin或者有关后台的信息了,然后我就想能不能通过userid为1的用户信息,对所有框插入xss呢,想法天真了,并不执行
客服端口无法发送特殊文件,因为用的某恰,而且也没法XSS,,当然了,相关获取的数据已提交给相关人员、ZFB客服,对相关账号查封等,这次唯一的遗憾没有拿到shell
0x03 总结
总结一下:网站为境外搭建,根据域名特征,域名不固定,没有特征无法枚举,有客服域名,有前台域名,有后台管理域名,用的是同一个数据库,但是没有找到管理员后台,网站是套的模板,用的是ThinkPHP框架,模板很简单,简单到没有getshell的点(菜是原罪)
接着分析当前境外份子的常用充钱套路,避免上当
天上不会掉馅饼,掉的只会是陷阱,望守好钱袋子,不违法不犯法
原文始发于微信公众号(州弟学安全):漏洞挖掘|记一次对某杀猪盘的漏洞挖掘(反诈)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论