诈骗网站渗透取证
一:前言
通过实战诈骗网站渗透的案例,增强实战经验
这次实战攻占诈骗网站,进行信息收集,扫描端口发现对方可利用的端口中只开放了80端口,所以只能通过80端口渗透目标主机
二:渗透过程
1:信息搜集
nmap对目标主机进行扫描,扫描结果如下:
可以看到目标主机只有80端口开放,因此只能从80端口渗透目标主机,访问目标服务器的80端口,显示界面如下:
界面做的很仿真,通过浏览网站,发现网站的大多功能都的跳转到真实的网站地址,只有这个红色的专案执行令
不会跳转到其他服务器,点击专案执行令
进入页面:
可以看到页面有一个表单,提示输入专案验证码
和 涉案嫌疑人证号
,可以知悉其存储了受害人的信息,左上角有一个网上安全监控软件-犯罪追查系统
,点击自动开始下载TeamView
远程监控软件,目的是通过诱骗等等方式控制受害人电脑进行远程转帐等操作
分析:
这里在前台可以在该表单查询受害人信息,那么一定有个后台用于管理受害人信息,执行增删检查操作
进行敏感目录扫描:
看到admin
眼前一亮,在原目标域名后添加/admin
访问之,网页自动跳转到其后台登陆界面:
可以看到该后台使用的是ECShop CMS
系统,右键查看源代码,点击这个JS连接js/validator.js
:
可以看到该CMS确实是ECShop,并且版本可能为1.1
2:漏洞利用,写入webshell
确定其CMS有什么用呢?一般的思路如下:
- Google找到其对应版本的已知漏洞或exp,进行利用
- 下载其CMS源码,审计或者分析源码
在网上找了半天没有找到ECShop 有V1.1版本,大多数都为V2.7.3版本,下载解压后,进入程序目录upload
可以看到api
目录,在域名后跟api
访问之后发现,网站直接把目录里的文件显示出来了
看到这里就方便很多了,说明该CMS的确为ECShop ,而且很可能就是V2.7.3版本
找到对应的CMS,即可按图索骥,寻找合适的exp,下面的网址都有对应的EXP修改后自行利用即可
- http://paper.tuisec.win/detail/ab2df26cb395c70
- http://paper.tuisec.win/detail/5f427506f4635da
- https://www.cnblogs.com/68xi/p/9327620.html
利用EXP上传一句话木马,这里是在api目录下上传的gooos.php
3:shell连接,查看数据库
使用菜刀连接
找到数据库的配置文件,查看数据库用户名和密码:
得到数据库的帐号密码之后进入数据库查看后台信息,查看管理员信息表如图:
在线CMD 5查询了admin2的密码,查询结果为:admin88888
(为什么不查admin,因为要购买,没钱)
4:拿下管理员账户,后台登录
直接在之前找到的后台地址登陆,用户名为admin2
,密码为admin88888
登陆之后,查看“犯罪通缉人列表”(受害者列表),受害者有上千人,渗透到此,取证完毕~