诈骗网站渗透取证

通过实战诈骗网站渗透的案例,增强实战经验

Posted by 明心 on 2019-05-07

诈骗网站渗透取证

一:前言

通过实战诈骗网站渗透的案例,增强实战经验

这次实战攻占诈骗网站,进行信息收集,扫描端口发现对方可利用的端口中只开放了80端口,所以只能通过80端口渗透目标主机

二:渗透过程

1:信息搜集

nmap对目标主机进行扫描,扫描结果如下:

可以看到目标主机只有80端口开放,因此只能从80端口渗透目标主机,访问目标服务器的80端口,显示界面如下:

界面做的很仿真,通过浏览网站,发现网站的大多功能都的跳转到真实的网站地址,只有这个红色的专案执行令 不会跳转到其他服务器,点击专案执行令 进入页面:

可以看到页面有一个表单,提示输入专案验证码涉案嫌疑人证号 ,可以知悉其存储了受害人的信息,左上角有一个网上安全监控软件-犯罪追查系统,点击自动开始下载TeamView远程监控软件,目的是通过诱骗等等方式控制受害人电脑进行远程转帐等操作

分析:

这里在前台可以在该表单查询受害人信息,那么一定有个后台用于管理受害人信息,执行增删检查操作

进行敏感目录扫描:

看到admin眼前一亮,在原目标域名后添加/admin访问之,网页自动跳转到其后台登陆界面:

可以看到该后台使用的是ECShop CMS系统,右键查看源代码,点击这个JS连接js/validator.js

可以看到该CMS确实是ECShop,并且版本可能为1.1

2:漏洞利用,写入webshell

确定其CMS有什么用呢?一般的思路如下:

  • Google找到其对应版本的已知漏洞或exp,进行利用
  • 下载其CMS源码,审计或者分析源码

在网上找了半天没有找到ECShop 有V1.1版本,大多数都为V2.7.3版本,下载解压后,进入程序目录upload 可以看到api 目录,在域名后跟api 访问之后发现,网站直接把目录里的文件显示出来了

看到这里就方便很多了,说明该CMS的确为ECShop ,而且很可能就是V2.7.3版本

找到对应的CMS,即可按图索骥,寻找合适的exp,下面的网址都有对应的EXP修改后自行利用即可

利用EXP上传一句话木马,这里是在api目录下上传的gooos.php

3:shell连接,查看数据库

使用菜刀连接

找到数据库的配置文件,查看数据库用户名和密码:

得到数据库的帐号密码之后进入数据库查看后台信息,查看管理员信息表如图:

在线CMD 5查询了admin2的密码,查询结果为:admin88888

(为什么不查admin,因为要购买,没钱)

4:拿下管理员账户,后台登录

直接在之前找到的后台地址登陆,用户名为admin2 ,密码为admin88888

登陆之后,查看“犯罪通缉人列表”(受害者列表),受害者有上千人,渗透到此,取证完毕~