您当前的位置:首页 > 知乎文章

钓鱼钓到安全培训教室头上?黑客泪了

时间:2022-02-28 10:47:18  知乎原文链接  作者:网盾网络安全培训

我们学员被集体钓鱼了,泄露了一些同学的邮箱信息。一早上来公司,就听到学员们叽叽喳喳的都在培训室聊天,平时没见来的这么早这么积极,于是我很好奇的走进去看他们在讨论什么。结果我一进去他们就大叫老师帮忙!

事件起因

前几天晚上,有不少同学收到了一封“风信科技”投递来的邮件,邮件标题为“录取offer”:

class="ztext-empty-paragraph">

class="ztext-empty-paragraph">

邮件内容里给了一个链接诱导人去看他所谓的“详情”。其实这种钓鱼链接我们很早就给学员们讲过,没人不会自己做,但是骗子抓住了人们的心理,这些孩子来学习的目的都是为了能进安全公司就职,现在有这样一个机会摆在眼前了,谁能不动心?

于是很多孩子点开了这个链接,就出现了这样一个页面

class="ztext-empty-paragraph">

class="ztext-empty-paragraph">

都到这个页面了,有一些学员冷静下来知道了这是个钓鱼网站,但是这个网站除了链接以外,做的跟真的QQ登录页面一模一样,就不能避免一些好奇的同学输上密码试试,当你输入QQ号码和密码后就会跳转进入到真实的QQ邮箱页面:

class="ztext-empty-paragraph">

class="ztext-empty-paragraph">

这是钓鱼网站的一个最鲜明的特征,即输入账号和密码后自动跳转到真正的官网上。但是你的QQ账号和密码已经传输到了对方黑客服务器的数据库里,于是就有很多孩子立马发现自己的qq被盗号,空间里面发送了一些莫名其妙的东西,并且尝试更改密码也无效。

既然这个钓鱼黑客敢搞事情搞到我们头上,我们也只能give him some color to see see.

尝试攻击

要想尝试攻击该钓鱼网站,我们就要先收集这个站的一些信息,所谓知己知彼百战不殆。我们立刻发现了从该页面提交的登录信息都会发送到另一个服务器,其IP为45.xxx.xxx.63,

class="ztext-empty-paragraph">

class="ztext-empty-paragraph">

本想尝试登录一下该服务器的后台,却发现对方给出的后台地址是个假的,进去之后只有无尽的挑衅并且太过“辣眼睛”:

class="ztext-empty-paragraph">

class="ztext-empty-paragraph">

然后扫描了一波目录之后也没有是什么发现。

然后尝试sql注入,一波注入猛如虎,发现居然有过滤机制,最后全被waf检测了(⊙o⊙)…

class="ztext-empty-paragraph">

class="ztext-empty-paragraph">

尝试sqlmap又被封了IP。看来对于这波挑衅这群黑客也是下了很大功夫。普通渗透无门,那我们就尝试点新思路。

我们思前想后想到前段时间,360CERT监测发现宝塔面板官方发布了数据库未授权访问漏洞的风险通告,漏洞等级为严重。远程攻击者通过访问特定路径,可以直接访问到phpmyadmin数据库管理页面,并可借此获取服务器系统权限。

于是我们再次对目标服务器进行了简单的信息收集

对于信息收集这块还有很多学员不知道方法,我再简单讲讲,也可以参考之前发的文章zhuanlan.zhihu.com/p/33

第一类:主动信息收集:通过直接访问、扫描网站,这种流量将流经网站

第二类:被动信息收集:利用第三方的服务对目标进行访问了解,比例:Google搜索、Shodan搜索等

这里我们用的就是Shodan搜索,如下图

class="ztext-empty-paragraph">

class="ztext-empty-paragraph">

图中有用信息不多,我们可以得知该服务器位于美国弗吉尼亚州赫恩登,这很正常,也不知道是租用的还是如何,反正做这类事情服务器基本不可能在国内。另外一个重大的发现是,目标服务器开启了8888端口,这是服务器运维面板——宝塔的默认端口,正好利用上了前段时间披露出了宝塔数据库未授权访问的一个漏洞,远程攻击者通过访问特定路径,可以直接访问到phpmyadmin数据库管理页面,并可借此获取服务器系统权限。

竟然成功了,最终成功进入目标服务器的数据库管理页面,一键root哈哈哈:

class="ztext-empty-paragraph">

class="ztext-empty-paragraph">

如下,在qmail表的fish_user字段中发现了一些受害者的QQ账号和密码信息:

class="ztext-empty-paragraph">

class="ztext-empty-paragraph">

之后我们就将数据交给了网警,也算是教育大家要走正道了。

事后与危害性分析

事后我们分析那个黑客是如何给我们学生发送邮件的?他有是如何得到大家的邮箱信息的?大家的邮箱信息又是如何泄露的呢?

由于此次事件的发生是有一定目的性的,行骗者抓住了大家急待就业的心理,排除内部学员恶作剧的可能性,所以我们推测,对方可能是混入了我们的招生群:

class="ztext-empty-paragraph">

class="ztext-empty-paragraph">

那么黑客得到了我们的QQ之后又有什么用呢,难道就是单纯的想盗你号然后给你发xx图搞恶作剧吗?当然不是,这背后牵扯的是一条黑色的产业链。

比如某某黑客负责盗号,然后把这些账号封装起来,出售给专门收信的人,只要密码是正确的,不管能不能登上去。收信人买来这些账号后,有的做成“社工库”。

而如果钓到的是游戏账号,收信人也会进行“洗信”(“信”的内容就是游戏账号密码等信息,洗信说白了其实就是盗号洗钱)。之后,“收信人”利用工具去批量测试这一个信封的号码,看看有多少个被冻结或者密码错误。最后将那些密码对的账号,进行游戏装备等清洗,比如转走你的游戏装备,积分,游戏币,等等。

像这样的一个账号只值六毛到八毛左右,这种交易当然是违法的不容置疑。

如何防范

像这种钓鱼网站无非有以下几个特征:

1、URL链接比较可疑:

class="ztext-empty-paragraph">

class="ztext-empty-paragraph">

就我们见过的那么多正经官方链接,啥时候出现过这么多电话号似的乱码?

2、随便输入试试看

当你在登录页面输入账号和密码时,不管你输入的账号密码是否正确,都能跳转到官方页面,像这种情况在真是的官方登录页面是不会发生的,所以,当你进入这样一个登录页面时,可以先输上一个错误的账号和密码试试看,如果登录成功则为钓鱼网站,反之,登陆失败则为真是官方网站。

但要注意,这种钓鱼站很久前就有考验人心理,第一次不管怎么输入,它都提示你输错,这时你第二次输入才进行跳转。而且两次数据都入库,更便于筛选,两次密码一致大概率就是真的密码。

3、提高警惕性

钓鱼网站大多的手段就是发送给你一个比较有诱惑的链接或者二维码(二维码扫描之后还是跳转至链接),所以警惕中奖、修改网银密码、QQ密码的通知邮件、短信,不要轻意点击未经核实的陌生链接和扫描二维码。

不要在多人共用的电脑上进行金融业务,如在网吧等。更不要将自己的隐私信息随便给他人。

Ending......

最后,还请大家在生活中提高安全防范意识,不要随便点击不明的链接和扫描不明的二维码,不要贪小便宜哦。

上一篇      下一篇    删除文章    编辑文章
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表
推荐资讯
相关文章
    无相关信息
栏目更新
栏目热门