记某非法站点后台一日游

本是古典何须时尚 2022-10-16 04:53 133阅读 0赞

### 记某非法站点后台一日游 ###

最近朋友a的一个朋友可能遇到了类似的黑灰产，导致我的朋友a被无辜误伤，才觉这些黑灰产业的触角已经无处不在。很久没写博客了，正好最近看到一个敲诈站点线索，随便水一笔。

为了避免给专搞这类站的同行造成困扰，技术上其实也没啥亮点，漏洞利用过程就不写了，直接看他们都有啥套路吧。希望所有人都能提高信息安全意识，远离受骗和勒索。

信息搜集之后找到后台登陆 界面

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center]

用大家都懂的套路就登录进去了

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 1]

用户数其实就是被植入木马的手机的数量，这些木马的会偷偷上传手机通讯录和短信，木马读到没失效的短信验证码应该能登受害者的有些账号。

看看都有啥功能

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 2]

邀请码肯定是用来统计这个团伙引流组的业绩的

一般这种马都会让你强制授权gps，在线定位非常精准

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 3]

通讯录的可怕之处在于用来分析受害者的社交圈子和关系

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 4]

短信查看和下载功能大概就像下面这样，每条短信（有的是带姓名和消费地点的）清清楚楚，也很恐怖。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 5]

网页后台上有的大概就是这些，后面更深入观察后，其实他们有的木马是带相册上传的功能的，只不过这个web上没有。

这套系统有个文件上传点，上传webshell也比较顺利。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 6]

把传上去的小马藏一藏，翻翻他们服务上都有些什么

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 7]

发现这台服务器上除了刚才那个用来管理受害者的后台，同时跑了6个站。源码打包一份下载下来慢慢看。

这个服务器上的东西看起来像是配套使用的。比如下面这个是用来收钱的，非法所得用数字货币收款

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 8]

这收款地址直接写死在源码里，贴心如我本应帮他悄悄改个几位，当时觉得不要打草惊蛇，没动它的

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 9]

要不说那些非法团伙黑呢，你要以为它们收完钱就会收手真的太naive了。这些站点中还有用来做仿imtoken钱包的钓鱼页面。你以为你给了钱就算结束了，人家根本不会心疼giegie！人家想要的是你整个钱包！！！

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 10]

网站源码里面翻了下数据库用户名和密码，连数据库看看。

biz库里只有一个表，表里存的就是钓鱼页面骗来的钱包助记词，去掉那些盲打xss payload的，估计有两三百个已经上钩的。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 11]

sjk库存的的就是最开始那些短信记录，通讯记录什么的了。那可是他们“饭碗”，最后已经帮他们清空了。

可能这些团伙干活的并不是都懂计算机或者懂网络安全，没有挂代理的习惯？他们登录系统的公网IP挨的都比较近，抽样的几个IP都在某省会城市市区范围。团伙的活跃的账户二十多个，估计这个团伙有二三十人。甚至还有凌晨两三点的登录记录。

唉，这年头敲诈团伙也这么肝吗？

最后，他们的结局是什么？

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 12]  
期待着江湖上，永不相见！

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center]: /images/20221014/5c39f840b44d41a6bf2225fff1869d6b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 1]: /images/20221014/56eb17902b5041f0988a5a48c61c9607.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 2]: /images/20221014/cea8d1b1b0ea40549ed22d0d121e222b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 3]: /images/20221014/4ca1462c93cf432a93b9d6dfbb0cfde2.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 4]: /images/20221014/c06dd9802d944fffbed39dfd59f2c243.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 5]: /images/20221014/6330ebf3576f4e1c86ca6e0f7b21d0da.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 6]: /images/20221014/e1a4d12f01304f5185cb0c7d13ba154b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 7]: /images/20221014/42900374128140a7be823c6d79ee514f.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 8]: /images/20221014/7766662b729f49eda03e5d3f751ffce7.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 9]: /images/20221014/59c7ac10407b498d98f0644215cb6fd2.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 10]: /images/20221014/cfba5d61c3a140898586387e0360461c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 11]: /images/20221014/86e9616749184064bd48c2bbbe968a9e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 12]: /images/20221014/8d97a1b8f391438fb9c07e32ebe7a1cd.png