前 言
前言:本次渗透测试已经过公安授权并已将所有渗透数据上交。此渗透分享为学习交流使用。
注:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
0✖️01 信息收集
前期通过试探已经基本摸清楚了大概思路:境外诈骗分子先通过婚恋交友平台博取受害者的信任,之后提出自己可操控股票的涨跌为由让受害者下注购买从而实施诈骗。本次信息调取以及涉案金额大小共计1000余万元。
1、拿到站点后开始收集基础信息,诈骗分子通过商家编码来确定受害者的金钱归属,用了谁的商家码,骗的钱就给到了谁,幸亏已经有了商家码
2、随便注册了一个账号进去后大概的界面都是一个套路,如图所示:
0✖️02 漏洞探测
1、确定网站框架是什么,随便输入让报错。已知是Think PHP V5.0.5
2、开始是尝试这个一直在用thinkphp的洞一直测试,最后发现被修复了。找不到打点,最后还是回到了最初的信息收集,通过目录扫描扫到后台了
3、这个后台管理系统没有验证码验证机制,那就好办了。上BP暴力破解就就行,跑出来之后直接登录进入(扫描过程不展示了,难度不高)
4、成功登陆后,着手开始整理一下后台所有的功能(数据越看越惊人)
More
0✖️03 漏洞利用
1、来到后台发现有一个支付宝二维码上传点,这里同步bp抓包上传php马,事实表明我的运气很好,没有一点阻拦。上传PHP马并成功链接。
2、进到shell之后发现有宝塔面板的WAF,只能上CS公网反代(这里找其他大佬帮我实现的)
3、连上之后发现还存在客服系统,直接一并将每个目录上传了一份文件梭哈打包,从中找到目录里面的数据库连接文件获取账号和密码
4、直接上传数据库马就是干
直接复制粘贴进去站点数据库
客服系统+站点的数据库全部梭哈打包下载
5、下载到数据之后开始分析一下拿到的数据
最后一张图大家自行体会吧,少说一天都被骗100W
原文始发于微信公众号(进击安全):记一次带授权的非法股票站点渗透
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论