申请会员ID：no_sec

申请ID：no_sec
个人邮箱：166210760@qq.com
原创技术文章：分析钓鱼网页，找到攻击者IP

注意：由于我没有隐匿自己的行踪，所以我自己的地址暴露给了攻击者，不过，已经找到攻击者服务器了。现在忙于加固自己的服务器（还未被攻击者黑，但是有受到攻击的迹象了）。所以，这篇文章没写完，后面有机会再补充后续的攻防（所以还是挺希望管理员给我过的）


正文开始！
昨天一个朋友突然用QQ发给我一个链接，说让我帮他表姐投个票。我点开链接，发现网页不对劲：

可以看到，这个网页链接，咋一看没什么问题，点开之后，就有问题了为了更详细一点，就先抓个包

看见没有，这个钓鱼页面很机智，利用其它正规网站进行301重定向，重定向到钓鱼页面，如果用户是普通小白，看到下面那么长的地址肯定会怀疑，但是，如果很简洁，估计就不会怀疑了。

然后，经过301重定向，就向这个真实的钓鱼页面发起了请求

之后，就来到了钓鱼页面：安全意识强的人，可能会再看一眼url栏，一看就发现了，和之前QQ发送给我们的连接完全不一样。

这个攻击者高明的地方在哪里呢？他还不是自己傻乎乎自己弄个域名，自己建一个钓鱼网站。他是将自己的钓鱼页面挂在别人的正规网站上。我为什么这么说呢？因为你只要看url前面的域名，就会发现：这个网站是个整容网站，攻击者应该是通过一些途径利用，才将自己的钓鱼页面挂到了这个网站上。并且，经过我的分析，整容网站被挂的网页路径如下：http://www.oosss.com.cn/footer/js/jquery/default/code/ysha/78uijs/ds/ddh1/kuua1.php?xmk/top/gmxh我随便编了账号密码，输入后，继续抓包。我这里抓包，是想观察这个钓鱼网页偷偷的把用户的账号密码发到哪个服务器上。哈哈，原来想把被骗用户的信息发到这个域名地址上！

无论用户输入的账号密码是否正确，这个钓鱼页面都会提示密码错误，然后自己偷偷的利用js脚本，将用户信息发到攻击者自己的服务器上。那我们就继续下面步骤

知道了是IIS/6.0的中间件

搞笑的是，这个攻击者模仿的居然是百度。。。。这鸟人对度娘是真爱啊！但是无论在搜索框搜索什么信息，都不会像搜索引擎那样查到页面。我估计是因为这个攻击者没做好相关的网页显示功能。

不过，难点就在这里了。我只知道他的服务器域名，无法知道域名的注册者是谁，为什么呢？因为他用的是免费域名！什么站长之家啊，whois啊，都查不到后缀是tk的域名注册信息。只是知道了IP地址是香港

因此，若想知道更多信息，只能再深入思考。目前只能确定两件事：第一，这个网站的主人，就是利用钓鱼页面窃取大家QQ号的人（正常情况下，除非这个人服务器还被人黑了。但是，从模仿百度这件事来看，不像是被黑的，倒像是恶意的，因为只有一个页面，使用的是免费域名，查不到使用者的那种域名）第二，这个网站的中间件有可能是IIS/6.0，如果是IIS/6.0，那么目标肯定是windows系统所以，要还想深入，只能想办法黑了这台服务器。利用nmap进行简单扫描，只能发现两个端口：21和80由于目标是IIS/6.0的中间件，所以我就使用了cve-2017-7269这个漏洞尝试，不过很多人吐槽这个漏洞不好用，只有在windows server 2003 r2上才能稳定运行，事实证明，的确如此，exploit执行失败。怎么办呢？再去网站上看看，这次发现，网站是asp+IIS/6.0 的环境。

这里我想吐槽一下，这个鸟人做破钓鱼页面，找到他老巢之后，发现这个老巢只是挂了一个只能点击百度搜索的网页。也没上传，也没其他的。非常简单。实在是不好利用。爬了一下页面，发现也就这几个玩意儿：

既然现在没办法，那就直接扫路径，看能否扫到后台后台没扫到，但是却扫到了一条服务器安全狗，看图：

好吧，既然有服务器安全狗4.0，而我对服务器安全狗还不大了解，只知道web安全狗，所以，投机取巧一下，看一下最新的服务器安全狗更新了什么内容

嗯，根据上面的更新情况来看，要想要有所突破，还是得从系统层面入手，web是一时半会儿进不去了，毕竟他写的功能可以说几乎就没有写什么功能。。。于是乎，开始认真的使用nmap了，果然，有了进展！目标开了那么多的端口：

还有好多奇奇怪怪的服务，有一个服务叫做“ctf”，没想到啊，这个人还用自己的服务器架设了ctf服务。。我不打ctf所以不是太了解另外，我灵光一闪，查了一下攻击者这个服务器上是否还有其他的站，一查，哈哈，笑死我了。。。这个鸟人原来还做这种服务，哈哈，不过，他的这个服务应该就是利用用户的某种心理，实际上并不能看到。用户一旦下载相关文件，不出意外都是木马。

那么现在就有两种思路拿下他的服务器。第一，从这个成人网站入手，分析这个网站。但是我不想从这个点入手，怕被人误认为我在那干啥。第二，还是从系统层面入手。看能否绕过防火墙。补充一件事，由于我找这个攻击者麻烦的时候，没有隐匿自己的行踪，导致我自己的服务器地址泄露了，所以，暂时就先到这。我先去加固自己的服务器了（一直没加固，就放那的）。另外，如果有大牛，我希望能一起搞他，就当是伸张正义，并且，我有种强烈的感觉，这个人搞黑产搞的很有经验！他的服务器地址都很清晰了。如果，真没办法了，那我只能想办法DDos他了。下面这个是我服务器的日志，很有可能就是那个鸟人再找我麻烦。

Hmily

抱歉，未能达到申请要求，申请不通过，可以关注论坛官方微信（吾爱破解论坛），等待开放注册通知。

ps：可以回复更新更多技术细节来申请。

Hmily 发表于 2018-1-11 12:08
抱歉，未能达到申请要求，申请不通过，可以关注论坛官方微信（吾爱破解论坛），等待开放注册通知。

ps： ...

补充一下技术细节。。。。不知道管理具体指的是啥细节，我就想到哪就补充到哪里了。。。
第一个细节，钓鱼页面的分析。就是，我是如何知道攻击者是将钓鱼页面挂在别人正规的网站上的。我点击朋友发给我的连接之后，通过重定向，指向了攻击者挂的页面。攻击者是如何实现链接伪造的呢？就是说，我点击的明明是k开头的连接，可是显示的却是别的连接？原因是因为攻击者利用了链接中转网站，就是那个k开头的网站，那个网站可以实现把任何的长的URL，全都用一串随机字符来表示，然后跟在那个k开头的网站后面，而那个k开头的网站是个正规网站，这个网站做的事情就是将指向自己某个随机字符串的url请求，转向真正的地址。这样就实现了第一次的欺骗用户。（有的用户习惯是点击链接之前看一眼，点击之后就不看了，专门坑这种习惯的用户）
另外，我转到了钓鱼页面之后，我又是如何知道这是被攻击者挂钓鱼页面的正规网站呢？很简单，看url，直接访问该url主页，访问之后，就发现这是一个整容还整型的网站。
接着，我还尝试一个参数一个参数的去掉url，直到页面显示报错“页面不存在”，那么这么就可以推断钓鱼页面挂的真正地址。（个人根据上传webshell的经验判断的，不知对错）
第二个细节，如何找到攻击者服务器。攻击者既然钓鱼了，那么肯定得知道用户填写的密码，那么只要在用户点击提交的一刹那，抓包，看数据包提交的请求URL在哪。（本来我是打算通过前端的js代码进行分析，分析出攻击者的服务器域名的，能分析出来，我是先分析出来，后来才想到抓包的，抓包更省力，也更不容易出错）
那么，既然把密码提交给了这个服务器，这个服务器就很有可能是攻击者的（难道攻击者盗号送给别人？是不？）为了验证自己的看法，我查了这个服务器的域名。利用站长之家
第三个细节，域名查不到，为什么？因为是免费域名！没有注册信息，凡事以.tk为结尾的，都是免费域名。没有注册信息，一方面要么攻击者穷，小气，一方面是攻击者为了隐匿自己。我感觉后者可能性更大。为什么这么说，还有最后两个细节。
第四个细节，扫攻击者服务器端口。利用nmap 的半连接扫描，也就是ack扫描，我用的是ack扫描。这样我记得是不会被防火墙拦截的（原理真忘了），防火墙好像只拦截完整的连接请求。
第五个细节，同一公网IP对应一个服务器（正常情况下），一个服务器可以架设不同的网站。因此，我反查了一下同一个IP下的其他域名，就找到了一个色情网站。。。这正说明了这个攻击者不像是正规的人，很像搞黑产的，盗号，黄色网站他都占了。。。而且，他的端口中还开放了ctf服务，说明这个人也学点黑客技术，可惜，没用到正途上。。。
综上所述，亲爱的管理员，就给我过呗。。。。打那么多字真不容易。。。我过两年还想学破解呐，国内吾爱破解是数一数二的大站，是不？总不能让我再拿吾爱破解这个论坛来做渗透实践吧。。。这样也不好。。。违法的。。。主要就是想进来和大家一起学习，有的东西要有阅读权限才能看，买号也买不到。。。就只能通过发技术贴来维持生活了。。。。

Hmily 发表于 2018-1-11 12:08
抱歉，未能达到申请要求，申请不通过，可以关注论坛官方微信（吾爱破解论坛），等待开放注册通知。

ps： ...

亲爱的管理员大大，刚刚我提交了回复的技术细节，写了好多字，收到了吗？没收到我只能再苦逼的重写了。。。希望能回复一下。。

Hmily

游客 223.68.187.x 发表于 2018-1-11 20:35
补充一下技术细节。。。。不知道管理具体指的是啥细节，我就想到哪就补充到哪里了。。。
第一个细节，钓 ...

写了很长，确实很辛苦，但是说实话，并没有看到太多技术内容，如果只是找到钓鱼网站的服务器IP，没有后续步骤可能没有什么实际作用，如果你能挖掘到论坛的问题，我倒觉得比这个文章申请更容易一些，来试试？也帮助我们找找问题。

凛冬已至

就是让你找下论坛的漏洞什么的

Hmily 发表于 2018-1-12 11:32
写了很长，确实很辛苦，但是说实话，并没有看到太多技术内容，如果只是找到钓鱼网站的服务器IP，没有后续 ...

好滴，既然管理员大大都同意了，那我就不客气了！不过这两天真没时间，我得忙一些个人事情。下周才有时间来开始找论坛的问题。等着我~~（至于找到问题的时间，这个不好说，我也不敢打包票，本来我也觉得将用户的邮箱给游客看到这个行为不大好，可是已经被人提出来了。。。而且，没想到那哥们提出来就过了，我才反应过来~这都可以~~~有点尴尬）

无影

留言占位 坐等第一手论坛漏洞 {嗑瓜子}