本文讲的是我可能注册了假的黄色网站,近年来,随着信息技术的迅猛发展,网络已经成为我们生活不可或缺的一部分。网络在给我们带来方便快捷的同时,也成为诈骗犯罪的温床,不法分子利用网友的好奇心理,制作上线钓鱼网站诱骗消费者。钓鱼网站是不法分子尽心网络诈骗的主要手段之一。今天讲的就是一次对钓鱼渗透到社工的经历。
废话不多说,看图跑进来的请认真看,记好笔记。
目标站:
http://www.caoliu10240.com/
1024大家并不陌生把 没错今天说的就是一个草榴的钓鱼网站,网站是假的,可收集你个人帐号和密码信息确实真的!
点击任何东西都要你注册 抱着激动的心情我们注册一个试试,然而注册完了需要你交钱成为vip才能给你看,或者还有一个办法就是要你推广到各个群 要有是个人通过你的邀请连接注册了那么你就能不用交钱成为会员,我相信大部分人都会选择丢到个大群让别人去注册吧,然而就算通过你的邀请连接注册了上百人上万人你也根本不会成为那传说中的SVIP。
然而这并没有什么卵用,他们的目的就是为了收集你的帐号密码,然后通过你发送的邀请连接收集跟多人个人账户密码,滚雪球一样,没有限制,也没有终点!
下面就是渗透环节 国际惯例随手试了一个“admin”目录找到了后台,看到了熟悉的界面,可以判断出该网站使用的是“良精南方CMS”。
直接利用越权漏洞添加一个管理员,然后我们进入后台看看:
通过尝试,可以发现这是一个“阉割版”后台。试了几种拿webshell的方法都没有成功,编辑器组件被删除,上传点被删除,网站配置没敢插入一句话木马,担心万一没有调试成功破坏了配置,那样下面的工作就没法继续了。
通过后台可以看到截止到昨天就有10000+用户的信息被收集,字段包含用户名、明文密码和邮箱。
既然搞不定webshell拿不到网站实际权限,那么我们就尝试一下能否搞定管理员。
通过域名whois信息查询到管理员的邮箱:
空间里面都是卖药的信息,不知道药是真是假:
不敢相信一个妹子会搭建黄色网站收集用户个人信息,那么我们继续社工:
通过百度搜索结果得知,他有经常活跃在糗事百科:
用户名为 風夜殤:
通过这条信息可以知道他是做网赚的。好了,继续翻:
他给评论别人帖子,要种子,这个不像是妹子能做出来的啊,从这里得到了另一个QQ号码:
通过这个QQ的QQ群历史备注查出来,他的名字叫申燕鹏,完全不像一个妹子的名字。目测这个是生活号,进空间看看:
根据资料可以推断,1月27是生日,如果今年20岁,那么就是1997年出生的,19970127。
经常在这里运动,坐标河南省郑州市。
通过留言板找到手机号 但是是2012年的信息,不确定现在还用不用了。
百度搜索QQ号得到百度帐号
关注1024那你还关注戒色,在下佩服。虽然关注了微博互粉但是我并没有找到他的微博,技术不够啊。通过关注的小米贴吧可以猜测他用的是小米手机。
现在有了手机号、两个QQ号,百度帐号,还有一个常用用户名,我们继续用用户名搜索一下了 。
得到他在dosyp论坛有帐号,测试帐号密码。有惊喜,用户名和密码是一样的。
可以看到这就是他生活号邮箱,我们继续搜索:
注册了知乎,我们继续登录测试:
经过几次测试用生活号邮箱+百度账户名登录成功:
一个二十岁的小伙子,整天关注的都是些什么鬼。
这个站密码没有猜出来,最后没办法用钓鱼网站后台密密码登录测试成功了,可以确定是这个人。
可以确定是这个人了:
通过IP查出来的地址:
通过生活号+黄色网站后台密码登录成功:
通过生活号邮箱+百度帐号登录成功。然而本人不才,没能拿下百度帐号。为了验证手机号他现在还在用,我去登录小米试试:
通过两小时的猜测密码还是和前面的某站用户名一样+手机号登录成功,但是异地登录要手机验证,正在思考如何绕过,突然想起来登录小米论坛不需要验证,然后去登录小米论坛,小米论坛登录成功:
通过小米的手机找回,定位成功:
有两台设备,然而想查看手机相册通讯录需要手机验证或者邮箱验证,这两个一个没拿下来。
登录米聊可以确定手机号是他现在还在用的,然而名字是妹子的名字。感觉名字出错了所以用手机号去找回密码测试:
可以看出对应的人名为“*炎朋“,不过这个结果跟前面QQ群关系查出来的不一样,通过对照QQ群关系得到的是”申燕鹏“,然而我们支付宝的又不一样,直接转账会提示验证名字,出来的就是后面两个字。我们第一个字试试”申“验证通过。 最后得出的结论:真实姓名”申炎朋“。
世纪佳缘
从这里可以看的出来他只在找人做那个钓鱼网站,2015年1月16号开始策划到现在已经两年了。
我们继续测试密码登录猪八戒网,通过生活号邮箱+钓鱼网站后台登录密码,成功登录。
从这里再次确认手机号就是他的,还有通过手机号找到的微信号,通过QQ号找到的微信号就不贴出来了。
他们收集这些信息有什么用呢?用处太多了,每一条都能影响到你的钱财安全,甚至是人生安全。大家可以自行百度”信息泄漏的危害“。
保护个人信息的常用方法(良好的习惯)
1.不要使用简单的密码。123456,名字拼音+生日(123)之类的.(网友提醒可以在原密码后加上+1s) 2.不要N个网站用同一个密码,防止撞库。 3.不要随便在网上留QQ放真名甚至是你的身份证号。 4.不要随便连接公共WiFi。 5.不要用安全性弱的邮箱(我没有针对任何厂商)并且不要用该邮箱绑定支付宝或者苹果ID。 6.家里的WiFi管理后台账号密码不要设为默认,必要的话可以做一下MAC绑定。 7.分辨钓鱼网站。 8.不要随便扫二维码。 9.不要随便接收来历不明的文件。 10.我个人不推荐小白的电脑不安装安全防护软件。 11.如果知道自己注册的网站曝出安全问题,立马去改密码。 12.登陆开启二次验证。 13.淘宝购物订单不建议填写真名
原文发布时间为:2017年3月1日
本文作者:Mystery
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。