这是一个创建于 158 天前的主题,其中的信息可能已经有所发展或是发生改变。
-
事情起因
听我说,事情是这样的: 
废话不多说~开干!
-
就这?
扫码获取 url 直接访问: http://xxx.xxx.com/h5.2.taobao/index2.php?te=1&ClickID=168 。
测试了一下 ClickID 参数,存在注入。 
顺利拿到账号密码:baixiaos/123456
-
后台你在哪
扫目录后没能发现后台,通过访问
/admin以及/admin/index.php都会 302 跳转到/。翻阅全网发现仅有 3 篇文章与这个系统有关,且只有一篇找到后台,BUTTTT!访问后返回 404 。好了放弃了。正想着碰碰运气不行就只能放弃,直接输入/baixiaos仍然返回 404 ,再次输入/baixiaos.php成功返回后台!
输入帐号密码,进入后台。 
进入系统后找到一处上传点,直接改后缀,Getshell ! 
-
诈骗人员信息梳理
通过备案信息、子域名等其他系统,获取到诈骗人员部分信息。
从这个站点,获得了诈骗人员 QQ 、微信、邮箱。
在诈骗后台进行 XSS 攻击,最终锁定触发 IP 111.55.9.67 (中国广西壮族自治区)。
过了一会发现诈骗人员发布了新的诈骗页面。 
通过文案到闲鱼 APP 进行检索,锁定了一条新发布的商品信息。且该用户 IP 归属地与诈骗人员的 归属地一致。
 |  |
|---|
接下来就是打包资料上交公安~删库拜拜! 
 | 1 maocat 158 天前 via Android 还得是 php |
 | 2 MarioBros 158 天前 via Android  1 这个报警了都不管,楼主那个会管? https://v2ex.com/t/1125306#reply161 |
 | 3 Les1ie 158 天前 高手!不过有点小小的建议: 留着这个网站会导致更多的人上当,但是直接删除网站不利于网警取证。建议是先联系网警(如果能联系上的话,callback 多年前的一个帖子 /t/554901 ),由网警决定处置措施。如果联系不上网警,那就干翻这个网站吧 :) |
 | 6 MajestySolor 157 天前 比较好奇会不会受理并处理 希望楼主更新后续 现在黑产灰产肆虐最大的原因就是成本低 |
 | 7 gangstar902 157 天前 我用 burp 抓手机包抓不到两个 app 就打不开了咋整 |
 | 8 fkdtz 157 天前 好活 |
 | 9 NathanDo 157 天前 正道的光 |
 | 10 Jay00Lu 157 天前 赞了! |
 | 11 TimPeake 157 天前 大佬收下我的膝盖 |
 | 12 craftsmanship 157 天前 via Android 教练我想学网安 |
 | 13 7sa74n OP @craftsmanship 快别学了 快饿死了 |
 | 14 justfindu 157 天前 正道的光 洒向大地 |
 | 15 Removable 157 天前 正道的光!我这种菜逼看着就很羡慕 |
 | 16 Greenm 157 天前 1 这个渗透过程有种 20 年前一把梭的感觉,用来打黑灰产其实还挺不错的。 |
 | 17 AmaQuinton 157 天前 厉害了,正道的光 |
 | 18 Renco 157 天前 菜逼看着羡慕 +1 |
 | 19 Bssn 157 天前 好看,爱看 |
20 BeforeTooLate 157 天前 不是,这事情的前因在哪? |
 | 21 v1 157 天前 关键词: 百晓生(百晓生成) 林词 交易猫 |
 | 22 Ffffanwu 157 天前 前因是图一热心群众举报钓鱼网站 扫描二维码,开始整顿 |
 | 23 opengps 157 天前 op 是高手 |
 | 24 mayli 157 天前 可以的,就是入侵+删库,会不会反被认为入侵计算机系统,然后把自己搞进去? |
 | 25 dooonabe 157 天前 牛的 |
 | 27 MRG0 157 天前 被删的库会被恢复吗 |
 | 28 Chemist 157 天前 via iPhone 为什么你们渗透拿到的账号密码都这么简单 |
 | 29 fr13ncl5 157 天前 正道的光,不过这个站连个 waf 都不上属实是小看了广大安全从业者了 |
 | 30 VVVYGD 157 天前 牛 B |
 | 31 Livy15669 157 天前 好厉害 |
 | 32 babaYaga 157 天前 一点 WAF 都没有? |
 | 33 8355 157 天前 知道了吧,别设计登陆页面  |
 | 34 zzzlight 157 天前 牛蛙牛蛙 |
 | 35 zzzyyysss 157 天前 事情起因呢? |
 | 36 wjfz 157 天前 好浓的 20 年前的味道,丝滑到都在想是不是楼主自己搭的。 |
 | 37 emma3 157 天前 这种仿闲鱼分享页面的二维码,扫描后的链接又不会跳转到闲鱼,请问诈骗方式是怎样的? |
 | 38 5had0w 157 天前 后台密码是晚上 22:53 爆出来的,但是早上 09:06 就已经进入系统传木马了,我姑且认为你后台密码是前一天晚上爆出来的吧,你 xss 的数据最晚到 5.6 22:54 ,然后你说你去闲鱼检索,但是你闲鱼截图又在这 22:35 ,在这个时间之前 |
 | 39 pangdundun996 157 天前 给网络义警点赞! |
 | 44 leegradyllljjjj 157 天前 via iPhone 中国的条子基本都是混日子, |
| 46 7sa74n OP @kyuuseiryuu 佬,主要是打这个站真的就真的没啥技术含量哈哈哈 |
 | 47 skyrem 157 天前 数据库都进去了怎么不用 sqlmap 自带的 shell |
 | 49 hingle 157 天前 sqlmap , 文件上传,一句话马,经典!很久没接触了,现在居然还适用。 |
 | 51 Gilfoyle26 157 天前 @NSAgold #26 这个就很功利了,如果没有业绩就不管了? |
| 53 Gilfoyle26 157 天前 php 怎么又又又是它,怎么每次都是 php 是主角,有没有其他语言的。 |
 | 54 Qianxiaoqian 157 天前 支持老哥 |
 | 55 YaNanGe 157 天前 泰裤辣 |
 | 56 qcbf111 157 天前 请问,如果前端 json 解析到对应的结构对象,然后通过 mongodb 的 api 查询,比如下面这样,是不是就 100%不存在注入的可能性了? class Login{ string name; string password; } var login = json.deserialize<Login>(jsonText); Filter.Eq("name", login.name); |
 | 58 drymonfidelia 157 天前 |
59 NSAgold 157 天前 via Android @Gilfoyle26 一般来说负责的会管 但是队伍里混进去的功利主义者还是不少的 |
 | 60 demoplayer88 157 天前 老的 php 系统都是这样的 哈哈哈 |
 | 61 fanhaipeng0403 157 天前 6 |
 | 62 yjd 156 天前 最近淘宝遇到直接发空瓶。我就退货退款了。投诉没个鸟用。客户电话来问钱退了没有。退了就没下文了。店还好好的 |
 | 63 stkstkss 156 天前 via iPhone 牛逼 膜拜大佬 |
 | 64 lyxxxh2 156 天前 某个中专学校官网也是这样 sqlmap 直接扫到密码,甚至万能密码都能进后台。 文件上传也只验证 mine-type 。 burpsite 一改就上传了 shell 。 最骚的是他们外包服务商的官网 [客户案例] : xxx (还有链接) 这下好了,连网站都不需要找了。 |
 | 65 Cruzz 156 天前 @Gilfoyle26 #51 那你以为好些事情不立案是因为啥?都有指标的。完不成不是给自己找病么? |
 | 66 Azone 156 天前 这种是咋备案的 |
 | 68 ramastf0rce 156 天前 比靶场简单点,挂上了 webshell 不试试横向就有点可惜了,溯源流程可圈可点,有种像提交过的攻击报告一般简陋的美 |
 | 69 playerwhy 156 天前 而你,我的朋友,你才是真正的英雄 |
 | 70 dewi 156 天前 via iPhone 这就不能不说一款家喻户晓的软件了,它就是中国菜刀,真正的传奇软件 |
 | 71 givemeMcNuggets 116 天前 我刚才又遇到了这个仿咸鱼的平台  |
| 72 givemeMcNuggets 116 天前 |
| 73 7sa74n OP 1 @givemeMcNuggets #72  |
| 74 7sa74n OP 1 天塌了家人们 访问了 @givemeMcNuggets 发的链接,96110 来电,派出所叔叔直接找上门了 |
Select Language