鲁达 导游:通过连接的空隙,我们和别人看了故事。没有人知道他们是谁,从哪里来,以后会发生什么。(大卫亚设)。
对于白帽和黑帽而言,链接就像一道墙,一个想堆砌,另一个想推倒。从互联网的诞生开始,这两者一直在掰腕,从未停止过。
前几天,被”精神鸦片”一词刷爆了屏。央媒体直接点名网络游戏给未成年健康成长造成了影响,引起了社会广泛的关注。可谁曾想过,网络游戏只是网络其中的一个鳞片,像这种鳞片在网络中千千万万个,一不小就可能殃及池鱼。
我们绝大部分的时间都泡在网络中,成了名副其实的网络”瘾君子”。在这个”精神鸦片”的网络时代,不止未成年人备受侵害,成年人也同样难以幸免。
我们每天都会收到各种各样的短信,大部分人看一眼可能会随手删除,然而收到的信息若是跟自己密切相关,人们总会多看几眼或者点开其中的链接。一个不经意的点击,也有可能使我们陷入万劫不复中。
类似这种事情我们并不少见:
2021年4月5日,杜家庄一群众点击不明链接不见7万元。
2021年7月11号,牡丹江市一男子点击不明链接不见2千。
........
8月5号,给上海一家企业加固服务器,该企业老板说他的手机最近收到不少不明链接。由于他年纪比较大,防范意识不强,随手点击了链接。虽然未发现造成经济损失,但他总放心不下,怕公司的一些机密文件被泄露。应他的要求便对该链接进行查看。
通过APK逆向分析后得知,该链接具有获取设备的权限,其中包括获取联系人、开机、发送短信和拦截删除短信等。
whois查询,发现该域名下邮箱以及注册人林*峰的信息。用邮箱在多个平台上登录验证,发现在阿里云平台的手机号码显示是159******98。仅靠前面的三位数字是无法判断出电话的归属地。如果继续深入挖掘手机号,不得不考虑手机号有可能是购买别人的。
利用社工库进一步查询邮箱信息,发现该邮箱还注册了微博。打开微博,上面都是一些不明链接。停更的时间在8月6号。一一查询了上面所有的域名,域名绑定邮箱的信息都是一样。8月份之前的链接绝大部分已经打不开。经查明,能打开的链接均来自同一个IP。黑灰经挑选了一个帝国CMS的电商链接进行攻J,尝试通过它去拿服务器上的数据。选择它的另一个原因是过去渗透这类型的台子也不少。
本次渗透用到的工具有sqlmap,在使用sqlmap对数据库渗透的过程中,发现无法写入Webshell,找不到相关的配置文件,提权失败。通过sql-shell查询获取到数据库root账号和密码等一些信息。执行select@@datadir命令获取到数据库的保存位置,即在“D:EmpireServer目录下。根据CMS程序的特点,EmpireServer的安装信息基本确定,从而读取EmpireServer下的一些目录文件,其中就包括读取数据库配置文件ge的信息。大家需要注意的是读取该目录下的信息时要将“”换成“/”,否则会读取失败。再一次尝试webshell写入还是失败,手工结果也一样。
有点不可思议,在知道root权限以及网站的绝对路径等多个条件下还是没能拿下。后面又尝试了加密webshell写入结果还是一样。经过一番的分析发现,root获取的账号可以直接远程登录3389端口,才最终实现getshell。上传木马文件获取服务器上的一些信息,其中收集回来的信息有完整的手机号(即上面提到的159的号码),手机归属地为黑龙江绥化,根据手机号查询支付宝信息为*珍。木马文件传回来的信息显示,该链接获取手机内的短信以及联系人信息,并发送到指定的邮箱。黑灰经怀疑无论是支付宝、手机号还是邮箱信息应该都不是放马人的真实信息。
由于该服务器上的数据较多,加上还要工作,总共花了差不多5天的时间才梳理出一些数据。在这里也再一次提醒大家遇到不明程序尽量不要去打开,避免造成没必要的损失。