申请会员ID:no_sec
申请ID:no_sec个人邮箱:166210760@qq.com
原创技术文章:分析钓鱼网页,找到攻击者IP
注意:由于我没有隐匿自己的行踪,所以我自己的地址暴露给了攻击者,不过,已经找到攻击者服务器了。现在忙于加固自己的服务器(还未被攻击者黑,但是有受到攻击的迹象了)。所以,这篇文章没写完,后面有机会再补充后续的攻防(所以还是挺希望管理员给我过的)
https://static.52pojie.cn/static/image/hrline/4.gif正文开始!https://static.52pojie.cn/static/image/hrline/4.gif
昨天一个朋友突然用QQ发给我一个链接,说让我帮他表姐投个票。我点开链接,发现网页不对劲:
http://upload-images.jianshu.io/upload_images/5334916-1a7783d2ff8ecd29.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240
可以看到,这个网页链接,咋一看没什么问题,点开之后,就有问题了为了更详细一点,就先抓个包
http://upload-images.jianshu.io/upload_images/5334916-51512cfa7ad24ea9.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240
看见没有,这个钓鱼页面很机智,利用其它正规网站进行301重定向,重定向到钓鱼页面,如果用户是普通小白,看到下面那么长的地址肯定会怀疑,但是,如果很简洁,估计就不会怀疑了。
http://upload-images.jianshu.io/upload_images/5334916-dec482bba7851ea3.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240
然后,经过301重定向,就向这个真实的钓鱼页面发起了请求
http://upload-images.jianshu.io/upload_images/5334916-4b8f42cfa1bd921b.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240
之后,就来到了钓鱼页面:安全意识强的人,可能会再看一眼url栏,一看就发现了,和之前QQ发送给我们的连接完全不一样。
http://upload-images.jianshu.io/upload_images/5334916-c1b7bc67b18c6102.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240
这个攻击者高明的地方在哪里呢?他还不是自己傻乎乎自己弄个域名,自己建一个钓鱼网站。他是将自己的钓鱼页面挂在别人的正规网站上。我为什么这么说呢?因为你只要看url前面的域名,就会发现:这个网站是个整容网站,攻击者应该是通过一些途径利用,才将自己的钓鱼页面挂到了这个网站上。并且,经过我的分析,整容网站被挂的网页路径如下:http://www.oosss.com.cn/footer/js/jquery/default/code/ysha/78uijs/ds/ddh1/kuua1.php?xmk/top/gmxh我随便编了账号密码,输入后,继续抓包。我这里抓包,是想观察这个钓鱼网页偷偷的把用户的账号密码发到哪个服务器上。哈哈,原来想把被骗用户的信息发到这个域名地址上!
http://upload-images.jianshu.io/upload_images/5334916-ee3c34d647241181.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240
无论用户输入的账号密码是否正确,这个钓鱼页面都会提示密码错误,然后自己偷偷的利用js脚本,将用户信息发到攻击者自己的服务器上。那我们就继续下面步骤
http://upload-images.jianshu.io/upload_images/5334916-b948ebbb9612fa0a.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240
知道了是IIS/6.0的中间件
http://upload-images.jianshu.io/upload_images/5334916-a74d835a22ea90a2.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240
搞笑的是,这个攻击者模仿的居然是百度。。。。这鸟人对度娘是真爱啊!但是无论在搜索框搜索什么信息,都不会像搜索引擎那样查到页面。我估计是因为这个攻击者没做好相关的网页显示功能。
http://upload-images.jianshu.io/upload_images/5334916-59f8c7977fe914ad.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240
不过,难点就在这里了。我只知道他的服务器域名,无法知道域名的注册者是谁,为什么呢?因为他用的是免费域名!什么站长之家啊,whois啊,都查不到后缀是tk的域名注册信息。只是知道了IP地址是香港
http://upload-images.jianshu.io/upload_images/5334916-26fe2d8ecf9a62df.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240
因此,若想知道更多信息,只能再深入思考。目前只能确定两件事:第一,这个网站的主人,就是利用钓鱼页面窃取大家QQ号的人(正常情况下,除非这个人服务器还被人黑了。但是,从模仿百度这件事来看,不像是被黑的,倒像是恶意的,因为只有一个页面,使用的是免费域名,查不到使用者的那种域名)第二,这个网站的中间件有可能是IIS/6.0,如果是IIS/6.0,那么目标肯定是windows系统所以,要还想深入,只能想办法黑了这台服务器。利用nmap进行简单扫描,只能发现两个端口:21和80由于目标是IIS/6.0的中间件,所以我就使用了cve-2017-7269这个漏洞尝试,不过很多人吐槽这个漏洞不好用,只有在windows server 2003 r2上才能稳定运行,事实证明,的确如此,exploit执行失败。怎么办呢?再去网站上看看,这次发现,网站是asp+IIS/6.0 的环境。
http://upload-images.jianshu.io/upload_images/5334916-f3c93174d64d1828.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240
这里我想吐槽一下,这个鸟人做破钓鱼页面,找到他老巢之后,发现这个老巢只是挂了一个只能点击百度搜索的网页。也没上传,也没其他的。非常简单。实在是不好利用。爬了一下页面,发现也就这几个玩意儿:
http://upload-images.jianshu.io/upload_images/5334916-bc58a91e73c918ca.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240
既然现在没办法,那就直接扫路径,看能否扫到后台后台没扫到,但是却扫到了一条服务器安全狗,看图:
http://upload-images.jianshu.io/upload_images/5334916-9ebe32c1deb7592c.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240
好吧,既然有服务器安全狗4.0,而我对服务器安全狗还不大了解,只知道web安全狗,所以,投机取巧一下,看一下最新的服务器安全狗更新了什么内容
http://upload-images.jianshu.io/upload_images/5334916-a806e19a7964255d.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240
嗯,根据上面的更新情况来看,要想要有所突破,还是得从系统层面入手,web是一时半会儿进不去了,毕竟他写的功能可以说几乎就没有写什么功能。。。于是乎,开始认真的使用nmap了,果然,有了进展!目标开了那么多的端口:
http://upload-images.jianshu.io/upload_images/5334916-f0be0479af390d5c.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240
http://upload-images.jianshu.io/upload_images/5334916-d60269d218e0d9fd.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240
还有好多奇奇怪怪的服务,有一个服务叫做“ctf”,没想到啊,这个人还用自己的服务器架设了ctf服务。。我不打ctf所以不是太了解另外,我灵光一闪,查了一下攻击者这个服务器上是否还有其他的站,一查,哈哈,笑死我了。。。这个鸟人原来还做这种服务,哈哈,不过,他的这个服务应该就是利用用户的某种心理,实际上并不能看到。用户一旦下载相关文件,不出意外都是木马。
http://upload-images.jianshu.io/upload_images/5334916-85336a916c9663e2.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240
那么现在就有两种思路拿下他的服务器。第一,从这个成人网站入手,分析这个网站。但是我不想从这个点入手,怕被人误认为我在那干啥。第二,还是从系统层面入手。看能否绕过防火墙。补充一件事,由于我找这个攻击者麻烦的时候,没有隐匿自己的行踪,导致我自己的服务器地址泄露了,所以,暂时就先到这。我先去加固自己的服务器了(一直没加固,就放那的)。另外,如果有大牛,我希望能一起搞他,就当是伸张正义,并且,我有种强烈的感觉,这个人搞黑产搞的很有经验!他的服务器地址都很清晰了。如果,真没办法了,那我只能想办法DDos他了。下面这个是我服务器的日志,很有可能就是那个鸟人再找我麻烦。
http://upload-images.jianshu.io/upload_images/5334916-9cc9a9c23fee9c90.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240
抱歉,未能达到申请要求,申请不通过,可以关注论坛官方微信(吾爱破解论坛),等待开放注册通知。
ps:可以回复更新更多技术细节来申请。 Hmily 发表于 2018-1-11 12:08
抱歉,未能达到申请要求,申请不通过,可以关注论坛官方微信(吾爱破解论坛),等待开放注册通知。
ps: ...
补充一下技术细节。。。。不知道管理具体指的是啥细节,我就想到哪就补充到哪里了。。。
第一个细节,钓鱼页面的分析。就是,我是如何知道攻击者是将钓鱼页面挂在别人正规的网站上的。我点击朋友发给我的连接之后,通过重定向,指向了攻击者挂的页面。攻击者是如何实现链接伪造的呢?就是说,我点击的明明是k开头的连接,可是显示的却是别的连接?原因是因为攻击者利用了链接中转网站,就是那个k开头的网站,那个网站可以实现把任何的长的URL,全都用一串随机字符来表示,然后跟在那个k开头的网站后面,而那个k开头的网站是个正规网站,这个网站做的事情就是将指向自己某个随机字符串的url请求,转向真正的地址。这样就实现了第一次的欺骗用户。(有的用户习惯是点击链接之前看一眼,点击之后就不看了,专门坑这种习惯的用户)
另外,我转到了钓鱼页面之后,我又是如何知道这是被攻击者挂钓鱼页面的正规网站呢?很简单,看url,直接访问该url主页,访问之后,就发现这是一个整容还整型的网站。
接着,我还尝试一个参数一个参数的去掉url,直到页面显示报错“页面不存在”,那么这么就可以推断钓鱼页面挂的真正地址。(个人根据上传webshell的经验判断的,不知对错)
第二个细节,如何找到攻击者服务器。攻击者既然钓鱼了,那么肯定得知道用户填写的密码,那么只要在用户点击提交的一刹那,抓包,看数据包提交的请求URL在哪。(本来我是打算通过前端的js代码进行分析,分析出攻击者的服务器域名的,能分析出来,我是先分析出来,后来才想到抓包的,抓包更省力,也更不容易出错)
那么,既然把密码提交给了这个服务器,这个服务器就很有可能是攻击者的(难道攻击者盗号送给别人?是不?)为了验证自己的看法,我查了这个服务器的域名。利用站长之家
第三个细节,域名查不到,为什么?因为是免费域名!没有注册信息,凡事以.tk为结尾的,都是免费域名。没有注册信息,一方面要么攻击者穷,小气,一方面是攻击者为了隐匿自己。我感觉后者可能性更大。为什么这么说,还有最后两个细节。
第四个细节,扫攻击者服务器端口。利用nmap 的半连接扫描,也就是ack扫描,我用的是ack扫描。这样我记得是不会被防火墙拦截的(原理真忘了),防火墙好像只拦截完整的连接请求。
第五个细节,同一公网IP对应一个服务器(正常情况下),一个服务器可以架设不同的网站。因此,我反查了一下同一个IP下的其他域名,就找到了一个色情网站。。。这正说明了这个攻击者不像是正规的人,很像搞黑产的,盗号,黄色网站他都占了。。。而且,他的端口中还开放了ctf服务,说明这个人也学点黑客技术,可惜,没用到正途上。。。
综上所述,亲爱的管理员,就给我过呗。。。。打那么多字真不容易。。。我过两年还想学破解呐,国内吾爱破解是数一数二的大站,是不?总不能让我再拿吾爱破解这个论坛来做渗透实践吧。。。这样也不好。。。违法的。。。主要就是想进来和大家一起学习,有的东西要有阅读权限才能看,买号也买不到。。。就只能通过发技术贴来维持生活了。。。。 Hmily 发表于 2018-1-11 12:08
抱歉,未能达到申请要求,申请不通过,可以关注论坛官方微信(吾爱破解论坛),等待开放注册通知。
ps: ...
亲爱的管理员大大,刚刚我提交了回复的技术细节,写了好多字,收到了吗?没收到我只能再苦逼的重写了。。。希望能回复一下。。 游客 223.68.187.x 发表于 2018-1-11 20:35
补充一下技术细节。。。。不知道管理具体指的是啥细节,我就想到哪就补充到哪里了。。。
第一个细节,钓 ...
写了很长,确实很辛苦,但是说实话,并没有看到太多技术内容,如果只是找到钓鱼网站的服务器IP,没有后续步骤可能没有什么实际作用,如果你能挖掘到论坛的问题,我倒觉得比这个文章申请更容易一些,来试试?也帮助我们找找问题。 就是让你找下论坛的漏洞什么的 Hmily 发表于 2018-1-12 11:32
写了很长,确实很辛苦,但是说实话,并没有看到太多技术内容,如果只是找到钓鱼网站的服务器IP,没有后续 ...
好滴,既然管理员大大都同意了,那我就不客气了!不过这两天真没时间,我得忙一些个人事情。下周才有时间来开始找论坛的问题。等着我~~(至于找到问题的时间,这个不好说,我也不敢打包票,本来我也觉得将用户的邮箱给游客看到这个行为不大好,可是已经被人提出来了。。。而且,没想到那哥们提出来就过了,我才反应过来~这都可以~~~有点尴尬) 留言占位 坐等第一手论坛漏洞 {嗑瓜子}
页:
[1]