从搭建电影网站到发现数百网站沦陷!

前言:

算起来真的有大半年没关注网络安全了,但是还是有一些后遗症。

类似于这种

这种

倒不可能完全一样,不过生活中确实会保留一些习惯和思维。做一些常人看起来很奇怪的事。

比如:

有时候会对一些好友进行信息收集;

曾经登了一个陌生人的邮箱,看了他和他前女友所有的邮件来往,给他前女友发了邮件,给他留了言;

心里始终有正义感,某数字货币交易所被拖库,通知了部分公开名单里的当事人。

访问网站时总是会考虑他可能存在漏洞的地方;

注册不常用的账号,邮箱注册用临时邮箱,手机号注册就用国外的手机号。

发邮件如果怕被溯源就通过代理服务器发匿名邮件,或者伪造邮件;

下面讲一下这些习惯引发的事

段时间闲来无事,看 vps 服务器闲置也挺可惜的,于是打算搭个电影网站,正好平时也有一些朋友时不时的来找我要电影资源。

可是我没有源码啊

开发是没有能力开发的,第一反应就是去万能的某宝

无法理解这烂大街的东西还有人买,不好意思我只是来套路源码名字的。

找了几家店咨询了现在市场上主流的影视站源码名字后,我开始收集源码。

万能的 Google 总是不会让我失望

当然没有这么简单,下载了几个源码后,开始查杀病毒。

呵呵,打开看一下,是个 PHP 的一句话木马。果然都是套路啊,不过能免杀的还是比较少的。要是能免杀,中马我也愿意啊,哈哈。一个免杀马得卖点钱呢。

传到服务器安装好,后台看一下

看到这后台我有点懵逼,居然没有加验证码来防止爆破。

好吧,登进去改个密码退出来。然后祭出我半年没有开封了的神器 Burp suite

抓个包先,再丢进 intruder 模块,线程开到100,爆破之。

(返回信息最短的就是正确密码)

密码要是弱的话分分钟就跑出来,密码复杂也没关系,本地的密码字典还有一个多G,线程开大,花点时间还是很有希望的。

看了下后台的上传权限,还好,没有上传的地方,问题不是很大,没有深入下去的欲望,但也算是个安全问题。

然后又搭了另外一套程序,看上去是比现在这个要好一点,电影分类什么的也齐全,界面排版我也比较喜欢。

后台也加了验证码

如果是以前肯定是会给他来个全面测试的,没有其他安全问题,这个后台爆破就是一个突破点。

因为这验证码太容易识别了,爆破难度并不大。有总比没有好吧,至少现在我就不想动他。

太久没关注安全,但还保留了一些习惯。不做全面检测,起码搜索一下有没有人曾经披露过这个漏洞啊。

果然已经有人发现了漏洞,但是并没有多少人关注。(关于这个漏洞信息的帖子全网就两个)

于是我找了下这套程序的特征,结合Google 搜索语法

惊不惊喜,意不意外

看看有多少电影网站用这套程序,除去一些重复的页面,上百个站是有的。

那就随便搞一个吧,我赌五毛没几个站长修复漏洞。

再来一个

再来一个

后台有上传权限就好玩了,上传拿shell,提权,内网渗透......

而且后台编辑器是 KindEditor 还可以尝试这个思路去攻击。

不过我暂时没有兴趣深入下去,这种电影站大多是做引流用的,而且某宝全套包括搭建技术都很便宜,所以这些人更不会关注到安全问题。

这个事件就到这里

段时间还搞了个钓鱼站

那天大学班群有人问,怎么现在还有助学金,然后发了邮件的截图出来。

看到邮件的第一眼,潜意识就告诉我这是一个钓鱼邮件。

然后我让那同学把钓鱼链接给我,打开发现是做得非常差的一个qq登陆页,于是就手工测了几个页面。发现了存放受害者账号密码的文件。当时其实跟进了一下,我拿到了一百多个qq号,全部测试了一遍,80%可以登录。

原以为是我们学校学生的名单信息泄露导致被钓鱼。

登陆这些邮箱后却发现了他的传播方式并不是靠名单,就是利用邮箱里的好友群发邮件,因为是qq邮箱,所以邮箱里面所有qq好友的邮箱地址都有,而受害者基本上是学生,他们的好友基本上也是同龄人学生,然后再这样传播下去。

只需要一个学生qq号就可以一直传下去,一百封钓鱼邮件十个中招,一万封就有一千人中招。

可怕

最后,我用登陆成功的号群发了提示邮件,然后把钓鱼网站和收集到的钓鱼者的信息交给了网警。

天还意外发现百度统计记录的访问ip还挺准,之前看过ip定位的文章,这可能又是一种新的思路,测试精度区县级肯定是有的,某些ip精度可达街道级。

哪个亲戚青春期不懂事的儿子又离家出走了啊

我也出个利用 ip 定位的案例啊。

我是玖六先生

这是我的个人订阅号

感谢你的关注。

  • 发表于:
  • 原文链接:https://kuaibao.qq.com/s/20180731G04R5D00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券