2021年7月25日06:19:27评论104 views字数 1974阅读6分34秒阅读模式

前言#

本故事纯属虚构如有雷同纯属巧合

本文于 2019/1/22 首发于圈子社区

原文地址：https://www.secquan.org/Discuss/1068720

近年来互联网犯罪日益猖獗，而且以电诈、网传、网赌、黑彩等方式进行大肆侵害普通人民群众的财产。

滋生了很多刑事案件，甚至酿成血案、命案。

所以，如何反网络犯罪，有效遏制犯罪势头，成为了各级政法工作的新方向。图文无关

网络反黑纪实--协助取证流水过亿的非法站

起由#

本故事纯属虚构如有雷同纯属巧合

2018年中，接到线索通报，发现在互联网上活跃着一个非法的XX平台。

以网络直播喊单，电话销售、人拉人的形式进行非法XX活动，截止日前已造成多人受害，涉案金额巨大。

因此，领导部门授权对其互联网据点进行了一次彻底的摸排和取证。

以配合落地初查、和后续的侦控经营、扩线打击等。

图文无关

网络反黑纪实--协助取证流水过亿的非法站

进程#

首先，打开其官方网站，非常的大气正规，看起来有保险保障，有正规牌照。

图文无关：

网络反黑纪实--协助取证流水过亿的非法站

但实际查看，保险公司是其名下自己注册的。

正规牌照都是国外颁发的，而且是那种花钱即可办理的，

图文无关：

网络反黑纪实--协助取证流水过亿的非法站

而且，据评论看，这些赤裸裸的打着国外旗号在国内骗钱的XX平台，大多都是国人开办。。。#

图文无关：

网络反黑纪实--协助取证流水过亿的非法站

开打#

在有关单位和领导的指示下，我们进行了远程取证工作。

首先，我们是以APT的思路进行的全面渗透。

图文无关

先对其互联网资产进行摸排。#

网络反黑纪实--协助取证流水过亿的非法站

并对其互联网资产进行汇总、建档。

点我看大图#

网络反黑纪实--协助取证流水过亿的非法站

图文无关

可以看出，我们对其资产进行了几大块的分类。

分别是#

域名注册等信息#

历史变更信息#

端口开放信息#

历史解析信息#

C段网站#

旁站信息#

历史DNS服务器#

其他信息#

然后通过分析研判，我们发现无论是其注册域名地址，还是DNS服务器，都是国内的运营商。

受阻#

经过对200多个互联网资产的摸排，我们发现了其四处后台登陆。

分别是#

api.*****.com#

mt4.**.com#

dev.*****.com#

admin888.*****.com#

根据前期信息搜集的情报汇总结合页面情况，我们分析，这四个系统应该分别对应

接口、MT4系统、开发和管理#

尝试在页面进行了注入检查。

图文无关：

网络反黑纪实--协助取证流水过亿的非法站

基本都被拦截,ip被BAN#

应该是部署了阻断式的WAF#

尝试绕过，发现规则很强大，应该是某云服务商。

进一步在某旁站发现了个很妙的页面报错。

图文无关：

网络反黑纪实--协助取证流水过亿的非法站

然后针对Thinkphp的一些已知的漏洞进行尝试。

基本都是被拦截，或者关键函数被禁用。

图文无关：

网络反黑纪实--协助取证流水过亿的非法站

对3.2版本的漏洞基本都修复了。

期间打下若干C段机器，没有发现子网在一个内网所以很蛋疼。

还浪费了N个 bypass的 PowerShell脚本。

网络反黑纪实--协助取证流水过亿的非法站

自此，时间已经过去了好几天。

路由突破#

正当一筹莫展的时候，小伙伴发现了他们C段一台架设了ROS的路由器。

MikroTik RouterOS是一种路由操作系统，是基于Linux核心开发，兼容x86 PC的路由软件,并通过该软件将标准的PC电脑变成专业路由器，在软件RouterOS 软路由图的开发和应用上不断的更新和发展，软件经历了多次更新和改进，使其功能在不断增强和完善。特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能，其极高的性价比，受到许多网络人士的青睐。

细心的小伙伴发现某47.**.9.1 开放了 winbox的 8291端口。

网络反黑纪实--协助取证流水过亿的非法站

8291端口是走TCP协议的 winbox从这个端口过

就想起，我们之前研究的一个对ros漏洞的exp。操起来就是一炮。

网络反黑纪实--协助取证流水过亿的非法站

然后用winbox远程登陆其路由。

网络反黑纪实--协助取证流水过亿的非法站

发现它架设了L2TP的VPN。。

拨入进去，进入同一网段。

网络反黑纪实--协助取证流水过亿的非法站

测试了下，跟我们预估的一样。

顺利绕过了WAF的封锁。#

取证#

进了内网就是我们的天下了。

首先，二话不说进行数据库导出。

网络反黑纪实--协助取证流水过亿的非法站

进而获取到shell，提权，平行扩权。#

拿到了多台内网主机，其中包括运营、财务等主机。

网络反黑纪实--协助取证流水过亿的非法站

分析#

对会员和财务数据库进行了重点整理。

发现受害者近8w余人，季度财务流水过亿。

图文无关，只作示例：

网络反黑纪实--协助取证流水过亿的非法站

图文无关，只作示例：

网络反黑纪实--协助取证流水过亿的非法站

图文无关，只作示例：

网络反黑纪实--协助取证流水过亿的非法站

图文无关，只作示例：

结尾#

对服务器日志、等有效电子证据进行打包后，已全部移交相关部门。

并附带了详细的分析报告。

图文无关，只作示例：

网络反黑纪实--协助取证流水过亿的非法站

并进行了无害化处理(移交不留档)。

#后续，据称已进入公诉阶段。

#结语

网络反黑纪实--协助取证流水过亿的非法站

圈子社区的成员中有很多是来自执法战线的，他们长期活跃在互联网反网络犯罪第一线，在此由衷的对他们表示感谢，也希望越来越多的白帽子们能为反网络犯罪贡献力量。

关于圈子社区：
圈子社区是一个非盈利,封闭的白帽子技术交流社区。目前成员已有近2000人,拥有业内首个自主研发的实战化靶场,体系化学习和燃爆的交流气氛带你成为真正的大佬，社区专注实战，崇尚技术，如果你也是实战派，请关注我们。
社区地址：(请使用https访问)
https://www.secquan.org

本文始发于微信公众号（Secquan圈子社区）：网络反黑纪实--协助取证流水过亿的非法站

左青龙
微信扫一扫

右白虎
微信扫一扫

前言#

起由#

进程#

先对其互联网资产进行摸排。#

并对其互联网资产进行汇总、建档。

点我看大图#

分别是#

域名注册等信息#

历史变更信息#

端口开放信息#

历史解析信息#

C段网站#

旁站信息#

历史DNS服务器#

其他信息#

受阻#

分别是#

api.*****.com#

mt4.**.com#

dev.*****.com#

admin888.*****.com#

接口、MT4系统、开发和管理#

基本都被拦截,ip被BAN#

应该是部署了阻断式的WAF#

路由突破#

顺利绕过了WAF的封锁。#

取证#

进而获取到shell，提权，平行扩权。#

分析#

结尾#

并进行了无害化处理(移交不留档)。

#后续，据称已进入公诉阶段。

#结语

发表评论

在线咨询

微信