为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 IT技术 安全攻防 查看内容

深入渗透某诈骗仿冒网站

2018-6-9 16:50| 投稿: xiaotiger |来自: 互联网

摘要: 1 事件概况某日晚,忽然接到诈骗仿冒网站渗透任务,本次渗透的对象为某个冒充最高人民检察院的诈骗仿冒网站,URL为http://XXX/index.php/w/page/a,渗透目标为获取网站后台管理权限和服务器的控制权限。经过2天时间 ...

1 事件概况

某日晚,忽然接到诈骗仿冒网站渗透任务,本次渗透的对象为某个冒充最高人民检察院的诈骗仿冒网站,URL为http://XXX/index.php/w/page/a,渗透目标为获取网站后台管理权限和服务器的控制权限。

经过2天时间的渗透分析,最终获取到了该诈骗仿冒网站以及相关恶意APP管理后台的控制权限。并在其服务器中发现了大量其他恶意网站文件。最后对疑似网站管理者的IP进行了初步分析。

2 渗透分析过程

通过对网站结构的分析,发现该网站制作非常简单,首页文章列表等动态部分全部用图片代替,与用户交互的地方只有案件查询、银行卡信息提交和APP下载。如图1和图2所示:

图1:案件信息查

图2:银行卡信息收集

首先我们尝试在用户交互处进行SQL注入和XSS攻击,但均未成功。对目标服务器SSH端口的爆破攻击也以失败告终。对网站和主机层面进行了一系列的尝试但未能找到突破口后,我们决定从APP上寻找线索。

对该网站提供的APP进行反编译分析,我们发现该APP存在多种恶意行为,包括获取手机通讯录、通话记录、GPS位置信息和控制手机发收短信等。

图3:获取短信和GPS信息的反编译代码

使用Burpsuit抓包分析APP的通讯行为,我们发现该APP正在使用post方式上传用户数据,通过测试,此处存在POST注入点。

图4:抓包分析结果

对该处的SQL注入漏洞进一步渗透,我们获取到了网站的全部数据库信息。共20个数据表,包含仿冒的判决书和收集到的银行卡信息等。如图5:

图5:数据库信息

通过分析数据表中的内容,我们找到了如下关键信息:

1)该诈骗仿冒网站的后台地址:http://XXX/index.php/ctr/login

2)该恶意APP的管理后台地址:http://XXX/index.php/ctr/login

3)管理员的用户名和密码:sXXX688 XX688

图6:管理员的用户名和密码

之后,我们成功登陆了诈骗仿冒网站和恶意APP的管理后台。

图7:诈骗仿冒网站管理后台

图8:获取的银行卡信息

图9:恶意APP管理后台

通过分析网站后台的功能结构,我们在会员管理处发现了一个文件上传漏洞,可以直接上传网页木马,获取服务器的控制权限。

图10:成功获取网站控制权限

使用同样的方法,我们成功拿下了恶意APP管理后台服务器的控制权限。

图11:恶意APP管理后台服务器

在恶意APP管理后台服务器上,我们发现该网站上部署有很多其他的恶意网站。

图12:其他恶意网站目录

查看该服务器网络连接状态,我们发现了几个疑似网站管理者的IP对数据库管理端口3306和服务器远程桌面端口3389发起了连接行为,通讯的时间点为16时57分55秒。

图13:与3306端口通讯的IP地址1

图14:与3306端口通讯的IP地址2

图15:与3389端口通讯的IP地址

现在为止,此次渗透到此结束。最后,在此衷心提醒大家,访问网站时擦亮双眼,切勿访问到诈骗仿冒网站!!!


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部