吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 8216|回复: 54
收起左侧

[PC样本分析] 一个邮件钓鱼网页的分析

  [复制链接]
benteng302 发表于 2021-1-1 07:59
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
好长时间没有发帖,格式调5遍还是没有搞好{:1_907:} ,有时间继续优化该贴,大家委屈一下先参看附件。
一个邮件钓鱼网页的分析.rar
今天打开邮件,无意中发现了一封全英文的报价信息邮件,附件是html的网页文件。NND,我们就一个的破小公司充其量也就做几单本地业务哪来的国际大单呢,嘿嘿,既然人家给咱报价了,来而不忘非礼也。那就动手分析一下这个大单吧。
2021-01-01_080123.jpg

首先把这个钓鱼的网页复制到安全的VM,用记事本打开看看什么内容吧,跟自己料想的差不多满篇的“小蝌蚪”,太正常不过了,如果钓鱼的话随随便便右键一下把裤衩都漏出来了,也有点太low了。
2021-01-01_080514.jpg

打开一下看看什么效果,网页界面做的较逼真,第一个框是我的邮件地址,第二框是用来欺骗输入密码提交查看文档的,到这就也大概理解了此钓鱼网页是用来钓用户邮件密码的。
如图:
2021-01-01_080620.jpg

好吧,那接下来看看它是如何实现钓鱼的,钓完之后的密码是通过什么路径收集的,下面开始网页的代码分析。
2021-01-01_080710.jpg

以上为正常网页内容,无需过多解释。
2021-01-01_080748.jpg

这里有个src的调用pdf.JS脚本,服务器还是阿里云看看是什么东东,打开后发现原来引用的是jQery脚本,对于天天在坛子的各位大虾这个脚本的作用就一掠而过,Query 是一个高效、精简并且功能丰富的 JavaScript 工具库。它提供的 API 易于使用且兼容众多浏览器,让诸如 HTML 文档遍历和操作、事件处理、动画和 Ajax 操作,说白了作者引用这就是所有的浏览器都可执行。
接着往下看,让我们看看这一坨是什么东东
2021-01-01_080958.jpg

JS不用过多解释一看便知,加密方式是什么呢,在这忽然之间看到了”unescape“单词,那就简单多了,解密方法找到了,拿出我的站长工具解密一下看看什么鬼。
2021-01-01_081122.jpg

NND这多乱码竟然加密了三次,经过三次unescape解密,得到了三个链接的脚本,看看是啥功能。
2021-01-01_081213.jpg

先看第一个 https://smtpjs.com/v3/smtp.js, 从脚本内容看应该是可以通过该脚本执行邮件发送哦。
2021-01-01_081325.jpg

往前翻翻看看主站smtpjs.com是干哈的, 哦,果然被我猜中该网站可以帮助实现通过调用smtp.js来实现邮件发送。
2021-01-01_081404.jpg

而且网站还为了安全还可以让使用用户通过Token的形式实现邮件发送。
2021-01-01_081507.jpg

第二个JS的调用https://ajax.googleapis.com/ajax/libs/jquery/3.2.1/jquery.min.js,就不分析了同调用阿里云的jquery脚本一样,略过。看第三个JS的调用 http://api.ipify.org?format=jsonp&callback=getIP",从该链接一看初步估计是获取被钓鱼的IP地址的,果然不错。
2021-01-01_081630.jpg

到了这,大概了解该钓鱼网页的思路,利用网页钓鱼用户邮箱密码和IP地址,然后通过调用smtp.js实现密码和IP的收集,继续往下分析看看,还有什么可以挖掘的。
2021-01-01_081719.jpg

接下来是这个链接,既然看到了明显的标志type=”image/pnghref=”data:image/png; base64“,就不用看了以下内容是经过base64加密的用于网页显示的图片,略过不看了。
2021-01-01_082813.jpg
2021-01-01_080856.jpg
2021-01-01_081811.jpg
2021-01-01_081903.jpg
2021-01-01_082114.jpg
2021-01-01_082203.jpg
2021-01-01_082356.jpg
2021-01-01_082733.jpg
2021-01-01_083002.jpg

一个邮件钓鱼网页的分析.rar

1.71 MB, 下载次数: 51, 下载积分: 吾爱币 -1 CB

免费评分

参与人数 14威望 +1 吾爱币 +31 热心值 +9 收起 理由
banhave + 1 + 1 用心讨论,共获提升!
一尘不染 + 1 + 1 求源文件
yangyang_linux + 1 我很赞同!
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
WAlitudealiy + 1 + 1 谢谢@Thanks!
Indra + 1 谢谢@Thanks!
涂秋 + 1 热心回复!
Elio.Evans + 1 + 1 我很赞同!
云无良 + 1 用心讨论,共获提升!
guoguanggyu + 1 用心讨论,共获提升!
fuzhend + 1 已经处理,感谢您对吾爱破解论坛的支持!
彼岸花开开彼岸 + 1 用心讨论,共获提升!
woyucheng + 1 + 1 谢谢@Thanks!
anandyuan + 2 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

608岁的老头 发表于 2021-1-1 08:56
我真的很好奇楼上面的那两个到底学到了什么
JOJOpet0 发表于 2021-5-5 19:42
xK4iEqM 发表于 2021-1-1 09:01
大佬请问安卓机用什么安全软件比较好啊

Bitdefender 或者 AVL 卡巴也可以啦
秃头大太阳 发表于 2021-1-1 08:20
学到许多,这份新年礼物可太棒了!
提个微不足道的小建议,排版能不能稍微做一下看着有点费力哈哈
龙神邪少 发表于 2021-1-1 08:32
感谢楼主,学到了
xK4iEqM 发表于 2021-1-1 09:01
大佬请问安卓机用什么安全软件比较好啊
头像被屏蔽
First丶云心 发表于 2021-1-1 09:09
提示: 作者被禁止或删除 内容自动屏蔽
ycg61 发表于 2021-1-1 09:46
2021 新年快乐! 哈哈 4位ID老混子 前来报道!!!
网络很鬼 发表于 2021-1-1 10:06
2021,新年快乐
觉今是而昨非 发表于 2021-1-1 10:15
得提高安全意识啊,一不小心可能就中招了
吾爱小神 发表于 2021-1-1 10:37
608岁的老头 发表于 2021-1-1 08:56
我真的很好奇楼上面的那两个到底学到了什么

哈哈哈哈哈哈
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 03:53

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表