-
事情起因
听我说,事情是这样的:
废话不多说~开干!
-
就这?
扫码获取 url 直接访问: http://xxx.xxx.com/h5.2.taobao/index2.php?te=1&ClickID=168 。
测试了一下 ClickID 参数,存在注入。
顺利拿到账号密码:baixiaos/123456
-
后台你在哪
扫目录后没能发现后台,通过访问
/admin以及/admin/index.php都会 302 跳转到/。翻阅全网发现仅有 3 篇文章与这个系统有关,且只有一篇找到后台,BUTTTT!访问后返回 404 。
好了放弃了🏳️。正想着碰碰运气不行就只能放弃,直接输入/baixiaos仍然返回 404 ,再次输入/baixiaos.php成功返回后台!
输入帐号密码,进入后台。
进入系统后找到一处上传点,直接改后缀,Getshell !
-
诈骗人员信息梳理
通过备案信息、子域名等其他系统,获取到诈骗人员部分信息。
从这个站点,获得了诈骗人员 QQ 、微信、邮箱。
在诈骗后台进行 XSS 攻击,最终锁定触发 IP 111.55.9.67 (中国广西壮族自治区)。
过了一会发现诈骗人员发布了新的诈骗页面。
通过文案到闲鱼 APP 进行检索,锁定了一条新发布的商品信息。且该用户 IP 归属地与诈骗人员的 归属地一致。
 |
 |
|---|
接下来就是打包资料上交公安~删库拜拜!
 |
1
maocat 1 天前 via Android
还得是 php
|
 |
2
dwb938 1 天前 via Android  1
这个报警了都不管,楼主那个会管?
https://v2ex.com/t/1125306#reply161 |
 |
3
Les1ie 1 天前
高手!不过有点小小的建议:
留着这个网站会导致更多的人上当,但是直接删除网站不利于网警取证。建议是先联系网警(如果能联系上的话,callback 多年前的一个帖子 /t/554901 ),由网警决定处置措施。如果联系不上网警,那就干翻这个网站吧 :) |
 |
6
MajestySolor 1 天前
比较好奇会不会受理并处理
希望楼主更新后续 现在黑产灰产肆虐最大的原因就是成本低 |
 |
7
gangstar902 1 天前
我用 burp 抓手机包抓不到两个 app 就打不开了咋整
|
 |
8
fkdtz 1 天前
好活
|
 |
9
NathanDo 1 天前
正道的光
|
 |
10
Jay00Lu 1 天前
赞了!
|
 |
11
TimPeake 1 天前
大佬收下我的膝盖
|
 |
12
craftsmanship 1 天前 via Android
🐮🐸 教练我想学网安
|
 |
13
7sa74n OP @craftsmanship 快别学了 快饿死了
|
 |
14
justfindu 1 天前
正道的光 洒向大地
|
 |
15
Removable 1 天前
正道的光!我这种菜逼看着就很羡慕
|
 |
16
Greenm 1 天前 1
这个渗透过程有种 20 年前一把梭的感觉,用来打黑灰产其实还挺不错的。
|
 |
17
AmaQuinton 1 天前
厉害了,正道的光
|
 |
18
Renco 1 天前
菜逼看着羡慕 +1
|
 |
19
Bssn 1 天前
好看,爱看😍
|
 |
20
BeforeTooLate 1 天前
不是,这事情的前因在哪?
|
 |
21
kk2syc 1 天前
关键词:
百晓生(百晓生成) 林词 交易猫 |
 |
22
Ffffanwu 1 天前
前因是图一热心群众举报钓鱼网站
扫描二维码,开始整顿 |
 |
23
opengps 1 天前
op 是高手
|
 |
24
mayli 1 天前
可以的,就是入侵+删库,会不会反被认为入侵计算机系统,然后把自己搞进去?
|
 |
25
dooonabe 1 天前
牛的👍
|
 |
27
MRG0 1 天前
被删的库会被恢复吗
|
 |
28
kyuuseiryuu 1 天前 via iPhone
为什么你们渗透拿到的账号密码都这么简单😭
|
 |
29
fr13ncl5 1 天前
正道的光,不过这个站连个 waf 都不上属实是小看了广大安全从业者了
|
 |
30
VVVYGD 1 天前
牛 B
|
 |
31
Livy15669 1 天前
好厉害
|
 |
32
babaYaga 1 天前
一点 WAF 都没有?
|
 |
33
8355 1 天前
知道了吧,别设计登陆页面
 |
 |
34
zzzlight 1 天前
牛蛙牛蛙
|
 |
35
zzzyyysss 1 天前
事情起因呢?
|
 |
36
wjfz 1 天前
好浓的 20 年前的味道,丝滑到都在想是不是楼主自己搭的。
|
 |
37
emma3 1 天前
这种仿闲鱼分享页面的二维码,扫描后的链接又不会跳转到闲鱼,请问诈骗方式是怎样的?
|
 |
38
5had0w 1 天前
后台密码是晚上 22:53 爆出来的,但是早上 09:06 就已经进入系统传木马了,我姑且认为你后台密码是前一天晚上爆出来的吧,你 xss 的数据最晚到 5.6 22:54 ,然后你说你去闲鱼检索,但是你闲鱼截图又在这 22:35 ,在这个时间之前
|
 |
39
pangdundun996 1 天前
给网络义警点赞!
|
 |
44
leegradyllljjjj 1 天前 via iPhone
中国的条子基本都是混日子,
|
|
46
7sa74n OP @kyuuseiryuu 佬,主要是打这个站真的就真的没啥技术含量哈哈哈
|
 |
47
skyrem 1 天前
数据库都进去了怎么不用 sqlmap 自带的 shell
|
 |
49
hingle 1 天前
sqlmap , 文件上传,一句话马,经典!很久没接触了,现在居然还适用。
|
 |
51
Gilfoyle26 1 天前
@NSAgold #26 这个就很功利了,如果没有业绩就不管了?
|
|
53
Gilfoyle26 1 天前
php 怎么又又又是它,怎么每次都是 php 是主角,有没有其他语言的。
|
 |
54
Qianxiaoqian 1 天前
支持老哥👍
|
 |
55
YaNanGe 1 天前
泰裤辣
|
 |
56
qcbf111 1 天前
请问,如果前端 json 解析到对应的结构对象,然后通过 mongodb 的 api 查询,比如下面这样,是不是就 100%不存在注入的可能性了?
class Login{ string name; string password; } var login = json.deserialize<Login>(jsonText); Filter.Eq("name", login.name); |
 |
58
drymonfidelia 1 天前
|
 |
59
NSAgold 22 小时 29 分钟前 via Android
@Gilfoyle26 一般来说负责的会管 但是队伍里混进去的功利主义者还是不少的
|
 |
60
demoplayer88 22 小时 5 分钟前
老的 php 系统都是这样的 哈哈哈
|
 |
61
fanhaipeng0403 21 小时 34 分钟前
6
|
 |
62
yjd 13 小时 34 分钟前
最近淘宝遇到直接发空瓶。我就退货退款了。投诉没个鸟用。客户电话来问钱退了没有。退了就没下文了。店还好好的
|
 |
63
stkstkss 13 小时 0 分钟前 via iPhone
牛逼 膜拜大佬
|
 |
64
lyxxxh2 12 小时 50 分钟前
某个中专学校官网也是这样
sqlmap 直接扫到密码,甚至万能密码都能进后台。 文件上传也只验证 mine-type 。 burpsite 一改就上传了 shell 。 最骚的是他们外包服务商的官网 [客户案例] : xxx (还有链接) 这下好了,连网站都不需要找了。 |
 |
65
Richared 12 小时 33 分钟前
@Gilfoyle26 #51 那你以为好些事情不立案是因为啥?都有指标的。完不成不是给自己找病么?
|
 |
66
Azone 10 小时 10 分钟前
这种是咋备案的🤔
|
 |
68
ramastf0rce 7 小时 2 分钟前
比靶场简单点,挂上了 webshell 不试试横向就有点可惜了,溯源流程可圈可点,有种像提交过的攻击报告一般简陋的美😰
|
 |
69
playerwhy 5 小时 38 分钟前
而你,我的朋友,你才是真正的英雄
|
Select Language