事情是这样:
首先是我一个朋友来告诉我 被盗号了
(资料图片仅供参考)
过了两天 另一个朋友也来告诉我 被盗号了
我就觉得好离谱
然后我就分析了一下
地址:http://qqacsw.***.cyou/wen/
长这样:
可以看出是一个伪装成腾讯文档的页面,用户输入QQ和密码就会被上传到服务器,进而完成盗号
首先分析一下源码:
可以看到,主要部分就是这里
获取用户输入 然后通过status.php的add action把用户名和密码提交上去,同时还附带有设备信息
首先我们可以创建一个脚本来高频添加数据:
这里我会从110, 911, 999中随机选一个作为QQ号码,然后那几句脏话中随机选一个作为密码上传。
可以看到我第一个请求的id就已经是42了,说明今天这个人已经钓了42条鱼了,事不宜迟,挂在后台先继续添加捣乱的数据,然后我们继续试一试进一步更彻底的摧毁。
首先用nmap扫描一下端口
可以看到他开了远程桌面端口
首先尝试用弱口令连一下
简单尝试了几下,发现常用的root, admin等弱口令无效
不过可以继续试着再用metasploit找一下漏洞
首先是比较经典的cve_2019_0708漏洞
试着先扫描一下存不存在这个漏洞
发现The target is vulnerable那还废话什么,直接开干
结果不太行:
估计系统是2008,而根据GitHub上issue的反馈
这个模块好像不是100%可靠的
最后我调整了GROOMSIZE,调到了300M
结果服务器挂了
附上chinaz上检测的结果,来证明不是我被屏蔽了,而是服务器挂了
过了一会儿又活了
看来应该是错误导致重启
后台挂个cve-2019-0708的脚本 可以让他无限重启 笑死了
后面又打了几次,发现这次一直timeout了,不知道是windows频繁蓝屏导致问题还是他自己把网站关了
不过, 任务结束。
其实还有一种思路sql注入,切入点有两个:
上传用户名和密码的接口
这个接口有三个地方有可能:
http://qqacsw.***.cyou/status.php?action=add&u={第一个}&p={第二个}&system_str={第三个}
他伪造的加载接口
http://qqacsw.***.cyou/wen/loading.php?action=shoy&id=这个id是在上传完用户名和密码后返回的,应该是根据用户上传的system_str判断用户的入口,然后跳转到对应的界面骗用户误以为登陆失败,比如跳转到钉钉和腾讯文档首页的
反正也访问不了了 先鸽了,有机会再试试
最重要的 还是大家加强防护意识
最关键的是检查域名是否为腾讯官方的
