threatBook社区用户名
IOC 1

threatBookthreatBook

求溯源钓鱼网站web应用漏洞利用
在校大学生攻破网络诈骗后台
社区用户名
2019-11-28 20:33:00ThreatBook1617
+ 关注

看到 V2EX 论坛上有人发布了帖子《在校大学生攻破网络诈骗后台》,这事情甚至得到了共青团中央官方微信号的转载,报道称

沈阳理工大学的一名同学在“闲鱼”上想要购买一台二手手机,在和卖家进行沟通的过程中,卖家表示在闲鱼上不方便,提出添加微信后使用“转转”进行购买交易。在该同学确认自己要购买时,卖家给他发来了一个“转转”的付款链接。该同学点进商家发来的“转转”链接后,根据系统提示的付款过程中,并没有发现有其他异常,因为该链接的付款界面与闲鱼官方平台的付款界面基本一样,于是就直接在上面付了款。可是当该同学付款完成后,却发现付款成功的界面不是闲鱼的界面,而变成了京东平台的支付完成的界面,发现自己上当受骗了。不慎中了骗子的圈套,他作为通信工程专业的同学,内心忿忿不平,为了阻止更多人被骗,于是他联合同专业的同学通过自己的专业所学,给了网络骗子一次漂亮的回击。为了防止更多人上当受骗,他找来本专业的同学一起从骗子提供的假链接中,“攻入”骗子的后台系统。据该同学说:“他们的系统其实很粗糙,我们有能力将其关闭,但考虑到如果将系统关闭,只会促使骗子再换一个网站继续行骗。所以我们就一直在监视这个网站,发现有被骗的人进入,我们就会电话联系对方,提醒对方不要上当受骗。”通过该同学了解到,骗子设计的假网站在骗人时需要输入基本信息,其中就包括电话号码。所以当同学们看到有人进入骗子网站时,就可以通过被骗人留下的手机号或者微信号联系对方,抢在受骗人付款之前通知对方不要上当。

利用关键词“学霸的反击”搜索微博,找到报道微博视频:https://weibo.com/6004281123/Ii7yz42MM下载视频链接地址。在视频的1分03秒,我们看到了具体的网址:http://zhunazhuan.com/yuyu/main.asp (P.S. 这位同学的书签里有“免费SSR”…奇奇怪怪的东西混入)

vlcsnap-2019-11-28-20h21m09s886.png

然而为啥没域名解析呢,是因为我们来迟了吗,域名被注册局暂停解析还是…其实原因是 Chrome 浏览器把前面的 www 给省略了,正确的网址为 http://www.zhunazhuan.com/yuyu/main.asp

后台登录地址截图:

2019-11-28_20-29.png

从第一章截图中,我们已经知道了用户名为 admin,且那位同学说他们利用了网站的漏洞,那么我先从 SQL 注入开始。

2019-11-28_20-31_1.png

登录!好吧,居然还真可以。

2019-11-28_20-32.png

后台漫游:

2019-11-28_20-35.png

2019-11-28_20-35_1.png

2019-11-28_20-36.png

2019-11-28_20-37.png

好在那位贺女士只是完成扫码,没有继续付款。

根据微步的域名历史记录可知,该 IP 的钓鱼从 2016 年就开始了:

2016-09-02 www.icloud-apple.mobi

2016-09-10 www.sddxzk2016.com (冒充山东大学自考)

2017-04-23 www.hxxhedu.cn (冒充 edu.cn 域名)

2017-06-22 www.ic1oud.ios.com-idit.pw

写在最后的话,尽管大学生攻击诈骗网站后台得到了共青团的背书,但这还是算“非法入侵计算机系统罪”呀。已向注册商阿里云报告该域名的滥用情况。

=================

11月30日更新:

来自腾讯的举报反馈,这么明显的 zhunazhuan 钓鱼网站都不认?用户是在微信上扫二维码受骗的啊。

From: 电脑管家 <guanjia@tencent.com>
Subject: 电脑管家网站安全业务通知(请勿答复此邮件)
Date: Sat, 30 Nov 2019 11:15:13 +0800

尊敬的用户:

我们在对您举报的网站 http://www.zhunazhuan.com 审核中, 因为网址打不开或者证据不 
足,导致不能判定为恶意,感谢您一直以来对互联网安全做出的贡献。

对网络传销组织,可微信搜索小程序"灵鲲金融风险查询举报中心"进行查询和举报。

对问题疫苗、食品、药品,可微信搜索小程序"腾讯安心计划"进行查询和举报。

对比下 360:

2019-11-30_12-41.png

尚未有响应:知道创宇安全联盟,阿里云,Google Safe Browsing。

展开全部ThreatBook

威胁指标(IOC)

域名子域名历史IP样本标签
www.zhunazhuan.com1000
10

评论

ThreatBook
匿名用户
2020-03-26 13:57:50
threatBook0
挖?
what
2020-03-26 11:39:03
threatBook0
古董级漏洞
acb9550
2020-03-26 10:06:18
threatBook0
这么牛
luolin6888
2019-11-29 23:07:06
threatBook1
不是吧 这个漏洞简直太小儿科了 万能密码漏洞在2019年居然还存在
请叫我叫兽
2019-12-04 21:17:41
threatBook
回复@luolin6888去年,我挖洞,某快递还遇到过。古董漏洞
匿名用户
2019-11-29 19:17:09
threatBook0
学习 学习
匿名用户
2019-11-29 13:56:07
threatBook1
我是不是可以dos他,哈哈哈
dask_safe
2020-03-28 16:24:45
threatBook
回复@匿名用户那叫DDos,停止服务攻击
HenryGe
2019-11-28 21:19:39
threatBook2
我进去发现里面什么都没了,已经被清空了
匿名用户
2019-11-28 21:48:32
threatBook
回复@HenryGe被我删了(逃)
匿名用户
2020-03-30 14:54:59
threatBook
回复@匿名用户哈哈哈哈 6
已经到底了,没有更多内容了