“杀猪盘”是“诈骗者”自己起的名字。诈骗分子准备好人设、交友套路等“猪饲料”,将社交平台称为“猪圈”,在其中寻找被他们称为“猪”的诈骗对象。通过建立恋爱关系,即“养猪”。最后骗取钱财,即“杀猪”。说白了就是诈骗分子和你先搞好关系,然后以“朋友”、“恋人”的关系去诱导你充钱到赌博网站,等你回过头来的时候他们已经销声匿迹了。
最初看到朋友圈各种晒资金APP收入信息截图,怀疑是被骗了,好意提醒过她,结果之后就收到朋友的信息求助:
发现这应该是一个 H5 打包封装的 app ,制定一下攻击流程:要么先找源码进行白盒测试要么就进行黑盒测试!常见的获取源码的平台有:互站网,源码之家,站长下载。不过这种类型的源码居多:
互站网针对这种类型的源码非常的多,不过这些源码都是基于 tp 框架 cms 二次开发的系统,大致内容应该都是一样的!
从互站网发现了一套源码,询问客服能不能给一个演示站点。客服晚上发了一个演示站点和测试账户进行测试:
看起来和目标站点大致相同:
跟目标站点对比了一下,功能大致相同,出处内容不大。
不过上传限制了白名单上传,这个地方丢弃掉。在后台翻了一个遍,基本是白名单控制无法突破。
于是凭借经验尝试修改“image/jpeg”为“text/php”试一试:
前台没有图片链接信息,去后台看看:
同样也没有链接信息,可能是上传方式有问题,再重新试试:
拿到 webshell 后把源码打包,之后进行代码审计,这是当前源码目录结构:
为了节约时间决定先找 getshell 漏洞,再找 sql 注入或者其他漏洞,因为这种漏洞能够快速拿到目标网站权限,通过代码审计看到会员中心有一处文件上传:
分析编码过来的base64流存不存在 data image 先前把image 改成了 text 所以才没有上传成功!这是目标站点页面信息:
拿到了网站权限于是就想钓鱼幕后杀猪盘黑手,通过利用Flash钓鱼手段获取管理员PC终端权限。Flash 钓鱼原理就是这样,随后通过漫长等待目标终于上钩:
IP:118.xx.xx.43
地区:安徽 芜湖
个人电脑登录过的QQ号:2283*****
通过大数据综合关联分析以及诈骗团伙终端资料,得出一些历史密码及社交信息。
在此已获取到嫌疑人所有社交信息,获取到目标宝塔权限,邮箱等...
进入数据库,将受害人手机号码导出,分析受害者分布地区:可见全国各地都有不同的人上钩,在这里跟大家说一下一定要远离资金盘,远离赌博网站,这些都是“杀猪刀”,如果你”上钩“了,你也变成“猪”了!
文章来源: https://mp.weixin.qq.com/s?__biz=Mzg2NjYwMTk0MA==&mid=2247483887&idx=1&sn=e4e044ec148934fd02650dd4031c67b3&chksm=ce491f54f93e964283f6211e6e4d240824e2ca483f4d0e8549acc636d4ced556cf16686b4199&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh