说起外挂,人皆恨之。当我单纯的以为现在的外挂售卖还只是活跃在非法的卡盟平台时,熟不知他们已经将手伸向了流量平台进行变相售卖。
故事是这样开始的:
有天晚上我实在睡不着,刷着X音,接着刷到一个CF卡Bug上房的视频,起初以为是情怀,正想给个双击,但是仔细一看,视频下方配文:不掉血看主页!
本着好奇的心理,点进去看了下!
不看不知道,一看吓一跳。作为白帽,也作为十几年的CF骨灰级玩家。看到他几乎所有的视频都是在利用外挂各种秀,我义愤填膺,就急切的想对他留下的网址看(日)一看(日),奈何时间已经不早,截下图就睡了。
梦中醒来,我就加上公告的QQ群,群里正是热闹,群主正在敲锣打鼓宣传着自己的外挂,点开群主资料是个小号,于是寻思进购买外挂的网站看看。
打开他留的卖挂官网,是一个自助发卡平台。接着对网站进行初步的踩点探测。
宝塔的环境,默认后台/admin 各种弱口令无果,查whois都是隐藏,得不到有用的信息。看起来这个发卡网像是阿洋发卡网,试了一下别的大佬审计出来的0day,无果。很烦又很不甘心,查了一下爱站的旁站,然后惊喜就来了。
虽然查出来有个www.XXX.com,当时还对着他搞了一通,但是他们并不是同一个ip。尝试直接访问ip。Surprise !
是一个网络验证平台,访问/admin 提示禁止 又跳回主页,那应该只能从前台登录。经过一番摸索发现是thinkphp5.x框架,拿起Payload一通怼,无果。再次陷入绝望。
冷静冷静,直觉告诉我这个站能拿,仔细一想Thinkphp还有个日志文件泄露,运气好能直接拿到管理员账号及明文密码。尝试输入/runtime 403 ! (内心os:就知道有戏。) 组合路径,下载之。
10号之前一直都是没有日志的,大胆从日志文件判断这个站刚搭建两三天,所以说一定会留下管理的登录痕迹。查找日志,很幸运,找到了。
从这个日志文件又发现了他这个网络验证的真实域名。(拿小本本记下)
成功登入后台之后我把拿Shell放在最后考虑,首先想到的是用拿到的明文密码去撞他的发卡网,上图。
订单的日期证实了我的想法,这两个站都是11号才搭建的。
当我以为这基本就结束了的时候,我这个弱口令小机灵鬼又做了大胆的尝试!
激动的心,颤抖的手。服务器都拿了我还拿什么Shell,Giao!要啥自行车啊。好在宝塔还是默认密码 ,要不然还真不好猜。不过还是以防万一,留了一手Shell。
可我觉得拿到的信息并不够,想试试能不能通过XSS钓鱼给这管理员种上马,于是在网络验证平台和发卡网都加入了XSS代码。
但是等了好久都等不上鱼,尴尬的是还被管理员发现了,后台密码,目录都被改。
服务器也拿了,XSS也打了,管理员也发现了,不能老是跟管理员在网站上斗智斗勇吧。我又做了个大胆的尝试,心想这群主的QQ反正是小号,说不定也是同一个密码呢。
但是又怕成功登录,因为异地过一会儿QQ会被冻结(之前有过例子),专门在Tg上白嫖了几个在做前期信息搜集时收集到的管理员常用的IP登录地址附近的国内SSR。上图:
之后翻他的邮箱包括 收件,发件,已删除。又搜集到应该是他本人的相关信息(也是个20多岁的小伙子呢),以及其他信息,真的就差登录他抖音试试了。
最后的最后,已通过有关部门进行了线索反馈,希望这些坏蛋能得到惩处。
写在结尾
文章转自圈子社区成员The3ight的精华贴,特此感谢The3ight的分享输出。
文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
扫二维码|关注我们
引领实战潮流,回归技术本质
汇聚行业新锐力量 推动网络安全进步
这是一个实战派白帽子的聚集地
本文始发于微信公众号(Secquan圈子社区):看正义白帽揪出X音外挂黑产党!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论