一次诈骗网站渗透取证记录

  • A+
所属分类:安全文章

一:前言

通过实战诈骗网站渗透的案例,增强实战经验

这次实战攻占诈骗网站,进行信息收集,扫描端口发现对方可利用的端口中只开放了80端口,所以只能通过80端口渗透目标主机

二:渗透过程

1:信息搜集

nmap对目标主机进行扫描,扫描结果如下:

一次诈骗网站渗透取证记录

可以看到目标主机只有80端口开放,因此只能从80端口渗透目标主机,访问目标服务器的80端口,显示界面如下:

一次诈骗网站渗透取证记录

界面做的很仿真,通过浏览网站,发现网站的大多功能都的跳转到真实的网站地址,只有这个红色的专案执行令 不会跳转到其他服务器,点击专案执行令 进入页面:

一次诈骗网站渗透取证记录

一次诈骗网站渗透取证记录

可以看到页面有一个表单,提示输入专案验证码 和 涉案嫌疑人证号 ,可以知悉其存储了受害人的信息,左上角有一个网上安全监控软件-犯罪追查系统,点击自动开始下载TeamView远程监控软件,目的是通过诱骗等等方式控制受害人电脑进行远程转帐等操作

分析:

这里在前台可以在该表单查询受害人信息,那么一定有个后台用于管理受害人信息,执行增删检查操作

进行敏感目录扫描:

一次诈骗网站渗透取证记录

看到admin眼前一亮,在原目标域名后添加/admin访问之,网页自动跳转到其后台登陆界面:

一次诈骗网站渗透取证记录

可以看到该后台使用的是ECShop CMS系统,右键查看源代码,点击这个JS连接js/validator.js

一次诈骗网站渗透取证记录

以看到该CMS确实是ECShop,并且版本可能为1.1

一次诈骗网站渗透取证记录

2:漏洞利用,写入webshell

确定其CMS有什么用呢?一般的思路如下:

  • Google找到其对应版本的已知漏洞或exp,进行利用

  • 下载其CMS源码,审计或者分析源码

在网上找了半天没有找到ECShop 有V1.1版本,大多数都为V2.7.3版本,下载解压后,进入程序目录upload 可以看到api 目录,在域名后跟api 访问之后发现,网站直接把目录里的文件显示出来了

一次诈骗网站渗透取证记录


一次诈骗网站渗透取证记录


看到这里就方便很多了,说明该CMS的确为ECShop ,而且很可能就是V2.7.3版本找到对应的CMS,即可按图索骥,寻找合适的exp,下面的网址都有对应的EXP修改后自行利用即可

  • http://paper.tuisec.win/detail/ab2df26cb395c70

  • http://paper.tuisec.win/detail/5f427506f4635da

  • https://www.cnblogs.com/68xi/p/9327620.html

利用EXP上传一句话木马,这里是在api目录下上传的gooos.php

3:shell连接,查看数据库

使用菜刀连接

找到数据库的配置文件,查看数据库用户名和密码:

一次诈骗网站渗透取证记录


一次诈骗网站渗透取证记录

得到数据库的帐号密码之后进入数据库查看后台信息,查看管理员信息表如图:

一次诈骗网站渗透取证记录


在线CMD 5查询了admin2的密码,查询结果为:admin88888

(为什么不查admin,因为要购买,没钱)

4:拿下管理员账户,后台登录

直接在之前找到的后台地址登陆,用户名为admin2 ,密码为admin88888

登陆之后,查看“犯罪通缉人列表”(受害者列表),受害者有上千人,渗透到此,取证完毕~

一次诈骗网站渗透取证记录

最后

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。


无害实验室拥有对此文章的修改和解释权如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的



本文始发于微信公众号(无害实验室sec):一次诈骗网站渗透取证记录

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: