查看原文
其他

针对某非法钓鱼诈骗网站渗透测试

校长 不懂安全的校长 2023-09-10

0x01 前言

我们在交易猫平台上发现有不法分子引导购买者在平台外进行交易,并试图通过钓鱼网站对受害者实施诈骗。

0x02 开始摸索

先是通过交易猫引导受害者添加QQ 5***483:

我们去搜索他发给我们的QQ号,加他们QQ后会通过话术引导你点击他们搭建的钓鱼网站

以下是与非法分子简单的 聊天记录

我们打开他们的网站后发现,这是一个伪造交易猫的钓鱼网站。

0x03 开始渗透

既然知道了钓鱼网站,也就开始了我们打点的旅途。首先对于这类站点,我的思路是获取源码。根据站点信息我们知道这是一个交易猫的钓鱼网站,可以通过关键词信息在搜索引擎中检索出相关内容。

根据搜索引擎检索结果,并与目标网站结构进行比对,确认是同一套源码。

进入我们的代码审计环节!

3.1 审计SQL注入

通过代码审计我们发现存在多处SQL注入,例如在/jym-wn/dd.php文件中可以直接通过Cookie传参的方式直接进行SQL注入

通过这个SQL注入漏洞我们可以直接获取数据库的所有内容,包含后台用户名密码等信息

但是我们无法定位到站点的后台地址,所以需要结合其他漏洞一起。于是我们就开始尝试挖掘其他的漏洞

3.2 任意文件包含

/xy/index.php中我们发现HTYP参数值会被Include作为参数执行,即存在任意文件包含漏洞

但是在这里要进入文件包含流程需要先满足一下前置代码的逻辑,即变量$_GoodsID不能为0否则程序就会退出,该变量的值是由SQL语句查询结果提供的,并且在SQL语句的拼接中存在SQL注入,所以我们可以使用逻辑或的语法使得返回结果不为0。

也就是请求/xy/index.php?ClickID=' or '1

这个路径就可以进入到文件包含的流程。为了扩大危害,我们对源码进行阅读,发现其存在一个重要的配置文件 /config/Conn.php,在该文件中的$_AR变量就是存储的后台文件路径。

所以我们可以构建出如下的请求来通过PHP文件包含伪协议的方式读取该配置文件内容

# Payload: 
/xy/index.php?ClickID=' or '1&HTYP=php://filter/read=convert.base64-encode/resource=../config/Conn.php

这里是以Base64编码形式讲读取的文件内容返回,进行解码之后我们就可以看见后台路径为 admin-Talker

我们使用SQL注入获取的后台密码在后台进行登录,成功登录(这里也存在一个脆弱的凭证校验,即当Cookie中包含Aname=真实的用户名,则可以直接访问后台)

3.3 获取站点权限

在后台处我们发现存在一处文件上传,可以上传任意内容的图片文件。

直接祭出Burp大法,进行文件上传找到路径

通过上传恶意内容的图片文件,结合上文中的文件包含漏洞即可获取Webshell权限,最终构建出Webshell地址

http://xxxxxxx.site/xy/index.php?ClickID=%27or%271&HTYP=../tuku/166779294611244.jpg

3.4 溯源身份

探针植入

我们在只有犯罪份子知道的后台页面中加入探针,等待目标进入后台即可获取到访问IP等信息

画像信息

如下图所示我们已经获取到目标的真实IP

最终梳理出目标信息如下:

操作系统:iOS 16.0.3
浏览器:Safari(版本:16.0)
设备:iPhone
IP地址:223.152.245.75(湖南省郴州市汝城县)

IP高精度查询:
半径:27678.4米
纬度:25.557673
经度:113.570504
详细:湖南省 郴州市 汝城县
精确:湖南省郴州市汝城县 山牛塘东南641米

0x04 结尾

承接红蓝对抗、安全众测、安全培训、CTF代打、CTF培训、代码审计、渗透测试、应急响应 等等的安全项目,请联系下方微信。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存