吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 15199|回复: 102
收起左侧

[PC样本分析] 钓鱼网站深入挖掘分析

  [复制链接]
Null666 发表于 2020-8-23 19:08
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 Null666 于 2020-8-24 12:28 编辑

有同志说看不太懂,那我就增加一點點細节吧

通过 记一次班级群的QQ钓鱼网站分析 分析


初步探测


获取了钓鱼网站的后台地址
后台1 http://fa9.hxzmdq.com/wocaonima/
后台2 http://yun34.hxzmdq.com/wocaonima/
image.png

PING后得出ip:143.92.45.190 没有使用CDN

ip反查后得出域名:hxzmdq.com、zgzmw.net


深入挖掘

发现该钓鱼网站设计比较简陋,没有验证码,便进一步测试 (同志们有博客或者网站的话一定要加验证码,尽量不要使用普通的数字验证码,因为现在ai识别普通验证码是很容易的事情了已经,推荐使用相对安全的极验、谷歌等)


这里我们直接用浏览器按F12在NetWork栏目内观察我们输入密码的变化
image.png


可以发现POST请求到http://fa9.hxzmdq.com/wocaonima/login.php
请求内容是user=admin&pass=admin
也就是
POST地址:http://fa9.hxzmdq.com/wocaonima/login.php
POST内容:user=账号&pass=密码


使用burp工具配合字典合理爆破即可

使用burp工具配合弱口令尝试探测密码(这里burp工具不给出详细教程,有网站的同志一定要记得开启安全等级高一些的验证码)

用户名使用admin、admin888、user进行测试(后台常用用户名,有建站的同志尽量避免使用此类用户名)

密码使用弱口令字典(百度一搜一大把,没有什么技术含量)

经过burp爆破后得出结果

钓鱼网站后台地址 密码
http://fa9.hxzmdq.com/wocaonima/ qwer789789
http://yun34.hxzmdq.com/wocaonima/ qqfa@qq.com


登录成功后看了一下发现并没有很多的密码泄露,大概率是哪些个大佬已经删除过了
image.png
image.png
当然,我们继续又删了一遍


结束,

是不可能结束的

深入狐穴


根据@Time丨Brand   大佬已经贴出的资料,又对该钓鱼站进行挖掘,

发现一处数据库漏洞,根据宝塔面板Linux7.4.2以及Windows6.8版本phpmyAdmin未加签权最新漏洞进入钓鱼网站phpmyadmin(现在官方已经推送修复了,没更新的同志赶紧更新) W0H8A9L7WSSA9E]AOKD[3.jpg

143.92.45.190:888/pma  (现在钓鱼骗子已经修复)





钓鱼数据库的内容真是让我岑目结舌,该服务器下还有很多钓鱼站,


发现非常多的同志输入密码,至于有多少呢,列在下方(已打马)

image.png
至于数量有多少,看右边滑动条即可
image.png

下列是钓鱼网站的数据库名

as7_hxzmdq_com
ba11_hxzmdq_com
bn34_hxzmdq_com
cc31_hxzmdq_com
ceshi_hxzmdq_com
db10_hxzmdq_com
de23_hxzmdq_com
dm14_hxzmdq_com
fa9_hxzmdq_com
gg111_hxzmdq_com
jdj_bqvknj_id
lao8_hxzmdq_com
ns19_hxzmdq_com
pi13_hxzmdq_com
pp21_hxzmdq_com
qa26_hxzmdq_com
spehk_zgzmw_net
sql_123ll_hxzmdq
sql_163_hxzmdq_c
te25_fa9_hxzmdq_
vip168_hxzmdq_co
as7_hxzmdq_com

发现最多的一个钓鱼站里面有500+数据,已经清零


以暴制暴

进入数据库后寻找了一番,并没有发现管理员的登录记录,所以只能清除它已经获取的数据,通过一两天的观察,它并没有关站,那我们给它塞一些垃圾数据好了
我们进入钓鱼界面
image.png
随便输入我们进行测试的号码以及密码,然后F12进入浏览器的NetWork栏目,点击登陆(真正的登录页面是“登录二字”),可以获取提交数据的地址http://fa9.hxzmdq.com/save.php 也是通过post提交
image.png


可以发现POST请求到http://fa9.hxzmdq.com/save.php
请求内容是u=1846546548&p=4564989794%2B&submit=
也就是

POST地址:http://fa9.hxzmdq.com/save.php
POST内容:u=账号&p=密码&submit=


然后我们进入工具,输入好参数,随便给这个鱼站刷点数据(工具我就不放出了)

image.png


结束



小科普
在这里呼吁大家不要随便点击Q群里面的不明链接,更不要随意输入密码,除此之外,更有多种多样的方式钓鱼情况在此举出几例:


例1:Q群内s情聊天软件(99.999999%为敲诈勒索软件,不给权限不让用,给完权限爆通讯录等等)
例2:伪装成同学在QQ空间发相册上面带二维码(大概率为钓鱼网站)
例3:班级群、学校群内挂出教务处成绩等诱导扫码输入qq密码(钓鱼盗号)
例4:伪装同学给你发链接配上让你帮助的文字(还是盗号,可能有的还会找你借钱,借钱之前一定要打电话确认!)
例5:邮件内的成绩、需要输入qq密码的文件等(钓鱼盗号)
例6:给你发一张二维码,说是让你帮忙辅助找回qq(实际是把你qq登录到骗子的电脑上)
例7:微信辅助(实际上是帮助违法犯罪人员解封被封禁的账号)
例8:qq、微信租号(利用你的qq实施诈骗等犯罪活动)

钓鱼盗号已经不新鲜了,但是还是有需多钓鱼盗号的骗局,希望大家能够记住 不点不明链接、不扫情况不明的二维码、不随意输入密码 手机号等隐私信息、借钱之前电话确认!

还有就是记得要给密码设置的复杂一些,时不时更换

免费评分

参与人数 53威望 +1 吾爱币 +73 热心值 +49 收起 理由
queenmly + 1 + 1 用心讨论,共获提升!
saber666 + 1 + 1 我很赞同!
as1343281672 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
seiya + 1 我很赞同!
youlaiyouqu + 1 + 1 厉害,给你个赞
寂寞王子 + 1 + 1 谢谢@Thanks!
foxM + 1 + 1 用心讨论,共获提升!
杨哥 + 1 + 1 我很赞同!
yuxuechao + 1 我很赞同!
wenhoster + 1 + 1 热心回复!
JamesWang + 1 + 1 用心讨论,共获提升!
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
hnwang + 1 + 1 我很赞同!
深水夜藏 + 1 + 1 我很赞同!
key4479 + 1 + 1 大佬,优秀!
kodfzz + 1 + 1 用心讨论,共获提升!
天天404 + 2 + 1 用心讨论,共获提升!
达摩祖师 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
第三方撒花 + 1 我很赞同!
lp-cg + 1 + 1 谢谢@Thanks!
叮当东东当当 + 1 + 1 谢谢@Thanks!
黑压压 + 2 + 1 用心讨论,共获提升!
折伐的仲夏 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
wasdzjh + 1 + 1 挂个黑夜,让他意识自己的错误
爱吾解破 + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
fenglinger + 1 用心讨论,共获提升!
xgameboy + 1 + 1 我很赞同!
sw04zwl + 1 + 1 谢谢@Thanks!
炉火纯青的小白 + 1 用心讨论,共获提升!
iflower + 1 + 1 大佬V5,干它丫的
jnzj4811 + 1 + 1 谢谢@Thanks!
ManicStt + 1 + 1 谢谢@Thanks!
不知道改成啥 + 2 + 1 大佬威武
jdjx + 1 谢谢@Thanks!
Andy0214 + 1 + 1 我很赞同!
梦入神机 + 2 + 1 我很赞同!
kk52140 + 1 + 1 热心回复!
5_love + 1 + 1 热心回复!
silence2540 + 1 + 1 我很赞同!
student007 + 1 + 1 谢谢@Thanks!
lizf2019 + 1 + 1 大佬666
sjjyz + 1 + 1 给力,支持大牛日站
Referer + 1 + 1 谢谢@Thanks!
199587hjn + 1 + 1 太强了!
52Hong3991 + 1 + 1 受教了,感谢!
江影影 + 1 + 1 用心讨论,共获提升!
冥丶已流逝 + 1 + 1 我很赞同!
祝大家新年快乐 + 1 + 1 我很赞同!
18341wuaipojie + 1 + 1 干他丫的,最恨盗号网站了
为了明天666 + 1 8765434bjsbajsbjxh~%最新密码
i8o2eu + 1 干他,这么垃圾的钓鱼
tianwyt + 1 + 1 热心回复!
wmsuper + 3 + 1 黑客?!!!!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

额微粒波地 发表于 2020-8-23 20:15
百度汉语:分析就是将研究对象的整体分为各个部分,并分别加以考察的认识活动。分析的意义在于通过认识事物或现象的区别与联系,细致地寻找能够解决问题的主线,并以此解决问题。

楼主,你这怎么能叫分析呢?深入挖掘分析?
jqw889 发表于 2020-8-23 22:43
帝丶北宸 发表于 2020-8-23 20:07
缓缓归矣 发表于 2020-8-23 19:48
这个后台地址有点个性,我要加在我的目录字典里

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
shr123 + 1 + 1 “我*你*”确实有个性

查看全部评分

bluefly43 发表于 2020-8-23 21:40
不如直接爆破网站
雅雅虫 发表于 2020-8-23 19:24
..........表示完全没看明白 这分析了啥......
zhanghaoml 发表于 2020-8-23 21:05
帝丶北宸 发表于 2020-8-23 20:07
现在都404了 是不是给大佬删掉了

提权一下呗
songyuxuan 发表于 2020-8-23 21:08
昨天看见你上个帖子,我进去删过一次记录!
为了明天666 发表于 2020-8-23 21:21
最新的密码被改了。
8765434bjsbajsbjxh~%
liujieboss 发表于 2020-8-23 22:17
呃,有点云里雾里
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:16

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表