今天天空阴沉沉的，还下了点小雨，我坐在公司天台的秋千上，抽着烟思考着人生。正在这时，手机响了一下，我拿起手机晃了一眼，啥东西？

  定眼一看，原来是一条只有一个网址的短信，以我这个安全从业多年的经验来看，肯定又是啥钓鱼短信，人生等会来思考，我现在只想看看钓鱼者是怎么套路我的，想到这里，我的嘴角开始露出邪恶的笑容。

揭开盖头

   打开网址后, 透过我有点反光的手机屏幕看到的是一个贷款app的下载页面，几个大字把我震的一愣一愣的，蚂蚁借呗？

   这个APP不会是想盗取我的支付宝账号，然后继承我那500块限额的蚂蚁花呗？

烟抽完了，回去打开电脑，输入页面下面的那个链接。

打开后发现，这个CMS有那么一点点眼熟，于是乎做了个指纹验证，然后百度一圈搜搜CMS的漏洞，无果！

   遂到官网下载此套CMS进行审计，什么，下载要钱？？

 我看了看桌子上早上没吃完还剩下的半个馒头，不禁心里一酸。

   算了，算了，这年头干啥都要钱，看看网上有没有乞丐版本。

   在网上搜了一圈，老天还是挺好的，给了我一条明路，把这套CMS下载回来后，召集小伙伴并拿出我久经考验的审计专用IDE开始干活。

   先找找入口点，全局处理什么的。

   这里可以看到它定义了一个方法来处理get、post、cookie的相关请求

返回数据时经过了format_param函数,我们跟进format_param函数。

在format_param函数里面我们看见了一大堆过滤，仔细看看int类型直接返回,输入字符串转实体化然后加\，下面每一种类型都有对应的处理方法

那么这样的话，就有点难办了，虽然俗话说的好“世上无难事，只要肯放弃”，但是我们还是要试试，万一呢？先抽根烟稳定一下情绪。

在漫长的寻找过程中,我们发现了一处可疑的地方，这里可控的参数没单引号包裹,然后我们就可以闭合)去注入了

在这个文件里面，我们又发现了,这里完全没有走format_param函数方法，在跟进数据库操作find()方法函数里面也是一样，没有任何的处理，直接进行了相关参数的一个拼接，所以注入点理论上是成立的了。

那么，实践是检验真理的唯一标准，本地搭建此套CMS系统,构造POC，去吧，皮卡丘。可以看到没问题，成功利用。

这下拿着POC到那个钓鱼网站试试效果。

动作要快，姿势要帅。额........没反应？

经过和官网目录核对，嗯... 我可能下错CMS了，跑偏了。

所以啊，指纹识别有时候也是不靠谱的，正所谓“尽信书，不如无书”。

通过长时间的寻找，终于还是找到了。

这个CMS目录简单，直接看看吧，几分钟后，我们发现了一个后门文件，这cms里后门太明显了，果然干这行的，都喜欢黑吃黑。

那么，我们也就不费劲去找啥0day了，直接进吧。

进入大马后发现大马的权限很低,并且Linux localhost.localdomain 3.10.0-693.el7.x86_64 #1 SMP Tue Aug 22 21:09:27 UTC 2017 x86_64,并不好提权，因为我连执行权限都没有（命令函数都被禁了）。

拿了密码进入后台后看见安装量还有点多诶,并且这后台只是一个分发系统,不是真正的app数据管理系统,故放弃提这台服务器，提了也没啥用。

正当无计可施之时，我们想到了APT攻击。

既然服务器我们没办法，那我们就直接搞管理员？用之前看见比较火的Flash更新钓鱼(既然你钓鱼我，那么我也来钓鱼你，礼尚往来），对远控进行免杀捆绑。

免杀伪装步骤：

1） 免杀远控

2） 捆绑工具

3） 图标提取(从flash原版程序提取图标资源)

4） 制作捆绑伪装

直接提取图标版权内容，稍后用作捆绑，版权信息可以捆绑完以后在加到exe上这样捆绑完成后比较完美，还可以把原版flash程序数字签名一同复制到捆绑程序上就完成

在网上随便下的的一个捆绑工具用做木马捆绑

下一步就是让目标运行咱们这个独家定制的flash更新程序了。。。。。。。

钓鱼肯定需要伪装，于是我们克隆了一个Flash官网页面，并注册了一个和flash官网差不多的域名，漂漂亮亮的把咱的独家定制小玩意放上去。

接下来呢，我们在后台登录文件里写个跳转代码。

之前想过写在前台的，想了一下，这样不就暴露了么，还会钓到很多无用用户回来，于是乎，后台一般只有管理员会来看，所以这样就比较目标精确了。

插入了跳转代码后测试一下，OK，有那么一点小完美。

吃完午饭回来一看，嗯，运气不错鱼上钩了。

成功获取到目标的PC权限。

事情都走到这一步了，顺便翻了一下他的电脑，在翻看他电脑的时候我们发现了一个秘密。

那就是那个手机短信里的那个站根本不是钓鱼站，之前我们还以为这个站就是套取个人信息或者盗号的那一套玩意，没有想到，事情远远比我们想象中的还要复杂和严重的多，一切似乎变得有意思了起来，于是乎，我们打算长期潜伏并监视此团伙。

水落石出

我们翻看了此团伙的电脑后，发现了一些重要的东西。

在下面的文档中我们可以看到，他们是一个做假贷的网站，这个文档里面包含了他们的一些话术，也就是对每一种情况，他们都有相应的应对措施，

受害人在申请贷款后，骗子将会利用受害人的贷款心切心理，引导受害人交钱。

利用平台套取受害人的相关个人信息

找到了他们的其他站点

随便找一个看看,居然还有人满意...... 

我们在其他的站点翻到了这个团伙的邮箱地址、手机号码及QQ号码

利用配置找到邮箱密码，登录之

这个邮箱绑定了服务器的主机和域名，那么，我们有个大胆的想法

我们登录域名服务器查看到了骗子的真实信息（不一定真实，伪真实）

查看下联系地址是什么地方的

厉害，这个地址也敢乱写，还有什么不敢的

单看这些东西也不行啊，我们打算直接进内网看看，直接上隧道，加个代理直进内网。

进入内网发现，都是个人PC电脑，不好搞啊，那么还是先用ms17010扫一遍。扫完后发现，好多都打不了，即使成功了，也无法返回链接，额，不用说了肯定蓝屏了，所以算了，动静小点

那就抓个密码吧，发现密码为空，而且之前拿了几台都一样，所以可以肯定的是，内网中大部分或者全部都没有密码，而且都是用的WIN7，即使开了3389也不敢连，会被挤掉

所以还是先从已经拿下的这台电脑入手吧，先截一个图先，发现还在使用

这个时候我们查看进程，在进程中发现teamview的存在，那么就直接上teamview密码抓取工具，抓到密码后，等待一个夜深人静的时候，观察到没有动静了后开始干活。

连上后，发现QQ还是登上的，看一下聊了些啥

为了尽可能的在服务器上停留时间短，我们把几个人聊天记录导出到本地观看，以免被发觉

,从他们的聊天记录看，他们这个所谓的贷款平台就是赤裸裸的诈骗

从这个电脑上，我们登录上了阿里云服务器

查到了个人信息

**印河北省**县*******90号

这个信息也不一定就是真的

通过他们的聊天记录，我们掌握了他们所有平台的账号密码，下面来梳理一下这个团伙的分工及套路

团伙采取公司化运作，下设客户经理、话务组、业务组等。诈骗模式为，先由话务员电话,短信方式招揽需要贷款的受害人， 再由业务员与受害人联系，让受害人下载所谓的放贷APP，在这个虚假APP平台中，要求受害人按流程操作并先交纳10%的手续费才能贷款，受害人一旦 转账，便以各种理由推脱，不予放贷。