我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。

文章来源:公孙田浩

大好,我是田浩。

2020年5月14日,我刚注册公众号没多久,有个叫方子的男生发私信给我。

说英雄联盟准备出手游,但内测资格一直没公开,有骗子利用这个机会,伪造官方给用户发送带有钓鱼链接的邮件来盗号。
99910-xh2bphxk13q.png

方子就是其中一个受害者,除了他,我也去了英雄联盟的贴吧看了下,确实有很多人收到了这类邮件。

73813-du1yc137zwd.png

由于反馈这事的人比较多,加上我平常也玩LOL,所以整理了下线索,开整。

1

目前一共有两条线索。

1.钓鱼邮件:j6*j9@zol.com

2.钓鱼网站:www.iku**.cn

首先是发送钓鱼网站的邮箱,从后缀来看是个,个人域名邮箱——也就不是我们平常用的那种QQ,网易,新浪邮箱

域名的主体我查了下,是一家叫【XX在线】的公司。

91660-9jn1s96lmmg.png

而网上提供临时邮箱的平台恰好也都是这类域名邮箱。

92613-t0mma9spy8.png

虽然我不知道这家公司是怎么回事,但正常的黑产从业者是不可能直接用真实信息的,所以暂且归纳到假信息处理。

第二条线索是钓鱼网站,这个域名我同样去查了下注册人信息,叫冯某。

93081-qpr413dnlh.png

注册邮箱是个QQ,我反查了一下,发现是买来的。

94171-p0i2orevf98.png

这儿你们就得记笔记了啊——————凡是涉及到网络犯罪的域名,几乎全都是用别人身份实名的。

而这个钓鱼网站是1:1高仿的,打开后会弹出登录框,输入密码后自动跳转到真正的LOL官网上。

83548-liuqp12n88h.png

此时,你的密码则自动上传到钓鱼网站的后台当中。

我在登录框盲打了一波XSS脚本,发现居然有过滤机制。

XSS中文叫【跨站脚本攻击】,它是很普遍的一种网站漏洞,攻击者通过嵌入XSS脚本到网站中,用户访问后会触发到脚本,你也可以比喻成它是个捕兽夹。

既然存在过滤,那我转移方向——开始扫描这个网站的目录,找到一个叫rufeng的路径,访问进去发现是后台的登录地址。

01358-66g97am1aov.png

由于后台登录没有验证码防御机制,我用了一波常见的弱口令字典跑了一遍,以失败告终。

期间我又尝试SQL注入,但都未能如愿

最后在换个字典扫描网站的备份文件的时候,找出一个压缩包,里面有个数据库文件夹,查看里面的内容,一个username和pasword分别对应的意思是账号和密码。

32186-wviaouwwtt.png

我推测这可能是盗号者忘记删掉备份文件,也可能是他懒得删,毕竟网站后台的开发者信息他都没有删掉。

利用MD5解密这串字符,最终得到后台的账号为admin,密码如图所示。

88503-c81ncznvqae.png

5月15号,我进入后台,首先看了下数据,不多,大概就一百多条。

22612-mqyb99qoxmo.png

随后我查看后台的登陆日记,发现除了我的代理IP外还有一个广东IP在14号登陆过,但也不排除对方和我一样,用了代理IP的可能性。

08718-027vnu16jkt4.png

这个后台很简单——只有数据查看和账号管理功能

49627-pg783k9czz.png

我逛了一圈,没发现有能上传东西的地方,可能是开发者怕被人入侵后,拿shell?

但我无意中找到一个HTTP错误的页面,发现页面中显示物理路径,Web目录往上一个是英文+数字的组合(wl56*)根据多年的网站建设经验来看,这应该是FTP的用户名。

97730-17gry2knvwsk.png

我反查了这个用户名,发现可能是个常用ID,因为有个贴吧账号也是叫这名儿。

83804-m3qr898aod.png

这贴吧账号关注了一个叫钓鱼源码吧,这个B贴吧里面全是交流跟钓鱼网站有关的内容,不过截至我在发稿前,这贴吧已经被封掉。

还有一个叫转转钓鱼的贴吧也是一样,希望工作人员看到我这视频能处理一下。

55364-nebb5vwh3kf.png

除此以外再无任何发现,一时之间陷入了困境。

2

5月16号,思考了一天,我换了个思路,开始查询这个域名绑定的IP,并且继续查询该IP下的其他域名。

31591-j0cujynvbz.png

其中有两个访问是这样的页面。

80323-qpe7bvb5y6.png

那么,也就是说,这个钓鱼网站很有可能是用某某互联科技的主机搭建的。

通过FTP的用户名和钓鱼网站后台的密码配合,登录该互联科技的控制面板,居然成功的进去了。

在账户设置中找到了他填写的手机号以及一个QQ邮箱。

23640-zcamu25h4nb.png

用手机号搜索支付宝,发现没有实名。

但这QQ号年龄有8年,所以我去了腾讯微博上搜索。

06087-vsx05c36d5d.png

找到一个账号,点进去找出了他曾经留下的痕迹。

比如,他曾经做了多年前很火的名字测试,90后的都应该玩过。

69244-3sev5wb9td.png

又比如,他留下过曾经喜欢的女生名字,叫郭某。

02191-zlqlud1up3.png

并且还有一个最为关键的信息点——他的资料卡片上写着一个学校名字,通过搜索引擎结合手机号的归属地去查询,发现是一家初中学校,在哪个地方我就不说了,免得你们又玩地图炮。

45840-5i9q0bn1ray.png

最后进行一遍信息整理,在后面的挖掘中,我花了三天时间摸清了,这条黑色产业链的操作过程。

21060-66oyigg4d8x.png
3

在这条盗号产业链中,他们的行话称为QQ信封号。

首先是【取信】

一组QQ号和密码叫一个信,一千个号码才能组成一个信封。

何XX负责盗号,然后把这些账号封装起来,出售给专门收信的人。

只要密码是正确的,不管能不能登上去,一个账号只值六毛到八毛左右。

收信人买来这些账号后,会进行【洗信】。

这是第二道程序,首先是利用工具去批量测试这一个信封的号码,看看有多少个被冻结或者密码错误。

58501-qe41fouy5eb.png

59793-5slg3pvb44t.png

最后将那些密码对的账号,进行游戏装备清洗,比如转走你的游戏装备,积分,游戏币,等等。

而那些没有游戏装备的账号,还有一个用途是发空间说说,为其他黑产引流量,其中占据色情内容的比较多。

57616-e8pmqebe0as.png

何XX虽然负责盗号,但他其实只是一个【广告手】

广告手顾名思义就是发广告的,在他之上的人才是真正的盗号者。

一般会给广告手另开一个后台账户,或者给他一个域名,白天发广告,晚上后台看有多少人上当。

一百个账号有60-70个密码正确的,就按5毛钱一条算。

综合以上,其实我们的社会和黑色产业链的构成是一样的,处于底层的人抛头露面,而何XX实只是个工具人。

正如巫师所说,不用特别纠结这个字眼,天下熙熙谁又不是工具人呢

只是工具人能产生多少价值的问题,所以我没有再往下调查他。

520那天,我清空了钓鱼网站后台的数据,最后从百度云里翻出李志的歌,给自己点了一根烟,写下这篇稿子...

本文经授权后发布,本文观点不代表立场,转载请联系原作者。
刚发布就越狱 Unc0ver 5.0.0发布:可越狱解锁所有iOS 13.5设备
« 上一篇 05-25
Windows被爆5个0 day高危漏洞,半年仍未修复
下一篇 » 05-26

相关推荐

红队防猝死手册

文章来源:https://github.com/zhutougg/RedteamStandard一切为了不丢分工作环境工作时全部操作均在虚拟机中完成虚拟机...

Android渗透工具集合

Android安全测试更多地被安全行业用来测试Android应用程序中的漏洞。下面将列举全面的Android渗透测试工具和资源列表,其涵盖了在Andro...