0x01 前言
我们在交易猫平台上发现有不法分子引导购买者在平台外进行交易,并试图通过钓鱼网站对受害者实施诈骗。
0x02 开始摸索
先是通过交易猫引导受害者添加QQ 5***483:
我们去搜索他发给我们的QQ号,加他们QQ后会通过话术引导你点击他们搭建的钓鱼网站
以下是与非法分子简单的 聊天记录
我们打开他们的网站后发现,这是一个伪造交易猫的钓鱼网站。
0x03 开始渗透
既然知道了钓鱼网站,也就开始了我们打点的旅途。首先对于这类站点,我的思路是获取源码。根据站点信息我们知道这是一个交易猫的钓鱼网站,可以通过关键词信息在搜索引擎中检索出相关内容。
根据搜索引擎检索结果,并与目标网站结构进行比对,确认是同一套源码。
进入我们的代码审计环节!
3.1 审计SQL注入
通过代码审计我们发现存在多处SQL注入,例如在/jym-wn/dd.php文件中可以直接通过Cookie传参的方式直接进行SQL注入
通过这个SQL注入漏洞我们可以直接获取数据库的所有内容,包含后台用户名密码等信息
但是我们无法定位到站点的后台地址,所以需要结合其他漏洞一起。于是我们就开始尝试挖掘其他的漏洞
3.2 任意文件包含
在/xy/index.php中我们发现HTYP参数值会被Include作为参数执行,即存在任意文件包含漏洞
但是在这里要进入文件包含流程需要先满足一下前置代码的逻辑,即变量$_GoodsID不能为0否则程序就会退出,该变量的值是由SQL语句查询结果提供的,并且在SQL语句的拼接中存在SQL注入,所以我们可以使用逻辑或的语法使得返回结果不为0。
也就是请求/xy/index.php?ClickID=' or '1
这个路径就可以进入到文件包含的流程。为了扩大危害,我们对源码进行阅读,发现其存在一个重要的配置文件 /config/Conn.php,在该文件中的$_AR变量就是存储的后台文件路径。
所以我们可以构建出如下的请求来通过PHP文件包含伪协议的方式读取该配置文件内容
# Payload:
/xy/index.php?ClickID=' or '1&HTYP=php://filter/read=convert.base64-encode/resource=../config/Conn.php
这里是以Base64编码形式讲读取的文件内容返回,进行解码之后我们就可以看见后台路径为 admin-Talker
我们使用SQL注入获取的后台密码在后台进行登录,成功登录(这里也存在一个脆弱的凭证校验,即当Cookie中包含Aname=真实的用户名,则可以直接访问后台)
3.3 获取站点权限
在后台处我们发现存在一处文件上传,可以上传任意内容的图片文件。
直接祭出Burp大法,进行文件上传找到路径
通过上传恶意内容的图片文件,结合上文中的文件包含漏洞即可获取Webshell权限,最终构建出Webshell地址
http://xxxxxxx.site/xy/index.php?ClickID=%27or%271&HTYP=../tuku/166779294611244.jpg
3.4 溯源身份
探针植入
我们在只有犯罪份子知道的后台页面中加入探针,等待目标进入后台即可获取到访问IP等信息
画像信息
如下图所示我们已经获取到目标的真实IP
最终梳理出目标信息如下:
操作系统:iOS 16.0.3
浏览器:Safari(版本:16.0)
设备:iPhone
IP地址:223.152.245.75(湖南省郴州市汝城县)
IP高精度查询:
半径:27678.4米
纬度:25.557673
经度:113.570504
详细:湖南省 郴州市 汝城县
精确:湖南省郴州市汝城县 山牛塘东南641米
0x04 结尾
承接红蓝对抗、安全众测、安全培训、CTF代打、CTF培训、代码审计、渗透测试、应急响应 等等的安全项目,请联系下方微信。
原文始发于微信公众号(不懂安全的校长):针对某非法钓鱼诈骗网站渗透测试
