注册
登录
1 事件概况 某日晚,忽然接到诈骗仿冒网站渗透任务,本次渗透的对象为某个冒充最高人民检察院的诈骗仿冒网站,URL为http://XXX/index.php/w/page/a,渗透目标为获取网站后台管理权限和服务器的控制权限。 经过2天时间的渗透分析,最终获取到了该诈骗仿冒网站以及相关恶意APP管理后台的控制权限。并在其服务器中发现了大量其他恶意网站文件。最后对疑似网站管理者的IP进行了初步分析。 2 渗透分析过程 通过对网站结构的分析,发现该网站制作非常简单,首页文章列表等动态部分全部用图片代替,与用户交互的地方只有案件查询、银行卡信息提交和APP下载。如图1和图2所示:  图1:案件信息查  图2:银行卡信息收集 首先我们尝试在用户交互处进行SQL注入和XSS攻击,但均未成功。对目标服务器SSH端口的爆破攻击也以失败告终。对网站和主机层面进行了一系列的尝试但未能找到突破口后,我们决定从APP上寻找线索。 对该网站提供的APP进行反编译分析,我们发现该APP存在多种恶意行为,包括获取手机通讯录、通话记录、GPS位置信息和控制手机发收短信等。  图3:获取短信和GPS信息的反编译代码 使用Burpsuit抓包分析APP的通讯行为,我们发现该APP正在使用post方式上传用户数据,通过测试,此处存在POST注入点。  图4:抓包分析结果 对该处的SQL注入漏洞进一步渗透,我们获取到了网站的全部数据库信息。共20个数据表,包含仿冒的判决书和收集到的银行卡信息等。如图5:  图5:数据库信息 通过分析数据表中的内容,我们找到了如下关键信息: 1)该诈骗仿冒网站的后台地址:http://XXX/index.php/ctr/login 2)该恶意APP的管理后台地址:http://XXX/index.php/ctr/login 3)管理员的用户名和密码:sXXX688 XX688  图6:管理员的用户名和密码 之后,我们成功登陆了诈骗仿冒网站和恶意APP的管理后台。  图7:诈骗仿冒网站管理后台  图8:获取的银行卡信息  图9:恶意APP管理后台 通过分析网站后台的功能结构,我们在会员管理处发现了一个文件上传漏洞,可以直接上传网页木马,获取服务器的控制权限。  图10:成功获取网站控制权限 使用同样的方法,我们成功拿下了恶意APP管理后台服务器的控制权限。  图11:恶意APP管理后台服务器 在恶意APP管理后台服务器上,我们发现该网站上部署有很多其他的恶意网站。  图12:其他恶意网站目录 查看该服务器网络连接状态,我们发现了几个疑似网站管理者的IP对数据库管理端口3306和服务器远程桌面端口3389发起了连接行为,通讯的时间点为16时57分55秒。  图13:与3306端口通讯的IP地址1  图14:与3306端口通讯的IP地址2  图15:与3389端口通讯的IP地址 现在为止,此次渗透到此结束。最后,在此衷心提醒大家,访问网站时擦亮双眼,切勿访问到诈骗仿冒网站!!!  |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
