今天天空阴沉沉的,还下了点小雨,我坐在公司天台的秋千上,抽着烟思考着人生。正在这时,手机响了一下,我拿起手机晃了一眼,啥东西?
定眼一看,原来是一条只有一个网址的短信,以我这个安全从业多年的经验来看,肯定又是啥钓鱼短信,人生等会来思考,我现在只想看看钓鱼者是怎么套路我的,想到这里,我的嘴角开始露出邪恶的笑容。
揭开盖头
打开网址后, 透过我有点反光的手机屏幕看到的是一个贷款app的下载页面,几个大字把我震的一愣一愣的,蚂蚁借呗?
这个APP不会是想盗取我的支付宝账号,然后继承我那500块限额的蚂蚁花呗?
烟抽完了,回去打开电脑,输入页面下面的那个链接。
打开后发现,这个CMS有那么一点点眼熟,于是乎做了个指纹验证,然后百度一圈搜搜CMS的漏洞,无果!
遂到官网下载此套CMS进行审计,什么,下载要钱??
我看了看桌子上早上没吃完还剩下的半个馒头,不禁心里一酸。
算了,算了,这年头干啥都要钱,看看网上有没有乞丐版本。
在网上搜了一圈,老天还是挺好的,给了我一条明路,把这套CMS下载回来后,召集小伙伴并拿出我久经考验的审计专用IDE开始干活。
先找找入口点,全局处理什么的。
这里可以看到它定义了一个方法来处理get、post、cookie的相关请求
返回数据时经过了format_param函数,我们跟进format_param函数。
在format_param函数里面我们看见了一大堆过滤,仔细看看int类型直接返回,输入字符串转实体化然后加\,下面每一种类型都有对应的处理方法
那么这样的话,就有点难办了,虽然俗话说的好“世上无难事,只要肯放弃”,但是我们还是要试试,万一呢?先抽根烟稳定一下情绪。
在漫长的寻找过程中,我们发现了一处可疑的地方,这里可控的参数没单引号包裹,然后我们就可以闭合)去注入了
在这个文件里面,我们又发现了,这里完全没有走format_param函数方法,在跟进数据库操作find()方法函数里面也是一样,没有任何的处理,直接进行了相关参数的一个拼接,所以注入点理论上是成立的了。
那么,实践是检验真理的唯一标准,本地搭建此套CMS系统,构造POC,去吧,皮卡丘。可以看到没问题,成功利用。
这下拿着POC到那个钓鱼网站试试效果。
动作要快,姿势要帅。额........没反应?
经过和官网目录核对,嗯... 我可能下错CMS了,跑偏了。
所以啊,指纹识别有时候也是不靠谱的,正所谓“尽信书,不如无书”。
通过长时间的寻找,终于还是找到了。
这个CMS目录简单,直接看看吧,几分钟后,我们发现了一个后门文件,这cms里后门太明显了,果然干这行的,都喜欢黑吃黑。
那么,我们也就不费劲去找啥0day了,直接进吧。
进入大马后发现大马的权限很低,并且Linux localhost.localdomain 3.10.0-693.el7.x86_64 #1 SMP Tue Aug 22 21:09:27 UTC 2017 x86_64,并不好提权,因为我连执行权限都没有(命令函数都被禁了)。
拿了密码进入后台后看见安装量还有点多诶,并且这后台只是一个分发系统,不是真正的app数据管理系统,故放弃提这台服务器,提了也没啥用。
正当无计可施之时,我们想到了APT攻击。
既然服务器我们没办法,那我们就直接搞管理员?用之前看见比较火的Flash更新钓鱼(既然你钓鱼我,那么我也来钓鱼你,礼尚往来),对远控进行免杀捆绑。
免杀伪装步骤:
1) 免杀远控
2) 捆绑工具
3) 图标提取(从flash原版程序提取图标资源)
4) 制作捆绑伪装
直接提取图标版权内容,稍后用作捆绑,版权信息可以捆绑完以后在加到exe上这样捆绑完成后比较完美,还可以把原版flash程序数字签名一同复制到捆绑程序上就完成
在网上随便下的的一个捆绑工具用做木马捆绑
下一步就是让目标运行咱们这个独家定制的flash更新程序了。。。。。。。
钓鱼肯定需要伪装,于是我们克隆了一个Flash官网页面,并注册了一个和flash官网差不多的域名,漂漂亮亮的把咱的独家定制小玩意放上去。
接下来呢,我们在后台登录文件里写个跳转代码。
之前想过写在前台的,想了一下,这样不就暴露了么,还会钓到很多无用用户回来,于是乎,后台一般只有管理员会来看,所以这样就比较目标精确了。
插入了跳转代码后测试一下,OK,有那么一点小完美。
吃完午饭回来一看,嗯,运气不错鱼上钩了。
成功获取到目标的PC权限。
事情都走到这一步了,顺便翻了一下他的电脑,在翻看他电脑的时候我们发现了一个秘密。
那就是那个手机短信里的那个站根本不是钓鱼站,之前我们还以为这个站就是套取个人信息或者盗号的那一套玩意,没有想到,事情远远比我们想象中的还要复杂和严重的多,一切似乎变得有意思了起来,于是乎,我们打算长期潜伏并监视此团伙。
水落石出
我们翻看了此团伙的电脑后,发现了一些重要的东西。
在下面的文档中我们可以看到,他们是一个做假贷的网站,这个文档里面包含了他们的一些话术,也就是对每一种情况,他们都有相应的应对措施,
受害人在申请贷款后,骗子将会利用受害人的贷款心切心理,引导受害人交钱。
利用平台套取受害人的相关个人信息
找到了他们的其他站点
随便找一个看看,居然还有人满意......
我们在其他的站点翻到了这个团伙的邮箱地址、手机号码及QQ号码
利用配置找到邮箱密码,登录之
这个邮箱绑定了服务器的主机和域名,那么,我们有个大胆的想法
我们登录域名服务器查看到了骗子的真实信息(不一定真实,伪真实)
查看下联系地址是什么地方的
厉害,这个地址也敢乱写,还有什么不敢的
单看这些东西也不行啊,我们打算直接进内网看看,直接上隧道,加个代理直进内网。
进入内网发现,都是个人PC电脑,不好搞啊,那么还是先用ms17010扫一遍。扫完后发现,好多都打不了,即使成功了,也无法返回链接,额,不用说了肯定蓝屏了,所以算了,动静小点
那就抓个密码吧,发现密码为空,而且之前拿了几台都一样,所以可以肯定的是,内网中大部分或者全部都没有密码,而且都是用的WIN7,即使开了3389也不敢连,会被挤掉
所以还是先从已经拿下的这台电脑入手吧,先截一个图先,发现还在使用
这个时候我们查看进程,在进程中发现teamview的存在,那么就直接上teamview密码抓取工具,抓到密码后,等待一个夜深人静的时候,观察到没有动静了后开始干活。
连上后,发现QQ还是登上的,看一下聊了些啥
为了尽可能的在服务器上停留时间短,我们把几个人聊天记录导出到本地观看,以免被发觉
,从他们的聊天记录看,他们这个所谓的贷款平台就是赤裸裸的诈骗
从这个电脑上,我们登录上了阿里云服务器
查到了个人信息
**印河北省**县*******90号
这个信息也不一定就是真的
通过他们的聊天记录,我们掌握了他们所有平台的账号密码,下面来梳理一下这个团伙的分工及套路
团伙采取公司化运作,下设客户经理、话务组、业务组等。诈骗模式为,先由话务员电话,短信方式招揽需要贷款的受害人, 再由业务员与受害人联系,让受害人下载所谓的放贷APP,在这个虚假APP平台中,要求受害人按流程操作并先交纳10%的手续费才能贷款,受害人一旦 转账,便以各种理由推脱,不予放贷。