WEB安全

记一次钓鱼伪基站的渗透及木马分析

字号+ 作者:SSS论坛 来源:转载 2017-02-21 14:43 我要评论( )

作者:SSS安全团队(转载请注明出处,感激不尽) 目标:高仿10086的钓鱼伪基站 目的:没有分享,就没有收获 0x001 起因 妹纸约我去后海喝咖啡,刚刚下车到了步行街......

作者:SSS安全团队(转载请注明出处,感激不尽)

目标:高仿10086的钓鱼伪基站

目的:没有分享,就没有收获

0x001 起因

妹纸约我去后海喝咖啡,刚刚下车到了步行街,手机duang的一声

一图胜前言


0x002 疑惑后的恍然..

打码范围是正常10086发给我的,是昨天家里人加进来短号了。下面一条是基站发给我的

刚开始我看到10086我是相信这条短信的。号码确实来自10086。疑惑的是10086换了一个域名?

官方:www.10086.cn

钓鱼站:www.10086xxx.com

我就顿时大悟,原来这片地区有人用伪基站。

下面科普一下伪基站。。。

“伪基站”即假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息,通过伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。

2014年以来,中央宣传部、中央网信办、最高法、最高检、公安部、工信部、安全部、工商总局、质检总局等9部门在全国范围内部署开展打击整治专项行动,严打非法生产、销售和使用“伪基站”设备的违法犯罪活动。

----------------------------------------------------------------------------- 万恶的分割线 -----------------------------------------------------------------------------

个人愚见:就类似于DNS劫持,把你手机的信号劫持去伪基站的信号,然后就发送信息给你

由于当时我还在忙着奔赴约会现场,我就懒得理。

0x003 查明真相

急忙回到家中,打开电脑。。输入10086xx.com


看到以下↓

我随便输入一个11位的号码(如18888888888)。就提示182.5元,脚指头一猜就知道有问题...

钓鱼网站,呵呵,有点意思,钓我头上来了。

打开煤气点支烟,冷静了一下,心中已经有了思路!

钓鱼站一般都是很水的,很少看到很严谨的钓鱼站。。。一般都是其他的功能转去真正的10086

然后敏感功能才是不会转跳的,我就尝试了一下,点充值之类的,果然都转去10086.cn


那么能突破的地方就是不会转跳的兑换人民币功能了

如上图有一个直接兑换...好吧,兑换人民币去咯


0x004 渗透网站

兑换后我来到的这里,看了一下域名还在本域www.10086xxx.com。

显示的是填写兑换人民币收款信息,“人心不足蛇吞相,呵呵”就是贪婪引发的"钓鱼"

我随便填写了一下信息点下一步,发现有提示不符合规范~看来有做一个限制,姓名是什么字符

卡号是什么字符、手机字符长短多少位数之类的 。。。

审查元素,看看什么限制

Javascript限制(即JS)就想到了burpsuite抓改发送包~。。。。我耐心的把day.js这个文件代码全部看了一遍。

接着我发现没有对密码进行限制,也就是啥字符都可以..


丢了一个xss进去。。。等待ing...

随便输入一个目录看看报错的信息...

如下,被狗咬了一口.........

就想到我的xss可能要换一下转义了~换了一个转义再次丢xss进去 .....

继续手动输入目录/admin/

出现后台系统,钓鱼站一般都不会很严格,我就想验证一下,admin'

出现了,祭出SQLmap

跑一下

信息:access web:asp win

查看源码:


    document.getElementById('username').value = '';    document.getElementById('password').value = '';    return false;}

username password

准备指定查询。。xss提示上线...

欺骗cookie进入之

值得一提的是:这个网站非常有意思,每当有鱼儿上钩的时候就会有铃声。

由于后台带了卡号密码,并且鱼儿很多。以及信用卡密码和那啥,影响太大。全程打码

什么?你以为这就完了?NONONO,继续!

0x005 勇闯虎穴

本帖隐藏的内容

话说得到cookie进入后台.并且得到密码(见上图)我还想进一步的研究钓鱼网站的套路

我继续浏览着钓鱼站点

发现如下↓

一个弹出下载apk。。机智的我果断下载了...

下载后得到一个10086.apk

嗯套路还是很齐全的。

得到银行卡号,密码,手机,身份证。之后还要受害者下载一个木马安装。

这个木马我也猜到大概的功能,肯定就是进一步的获取手机短信验证码!!


0x006 木马逆向

想到逆向我就想起我大SSS论坛什么教程都有,什么工具都有。

没错,打开论坛,熟练登录帐号密码。搜索逆向apk

找到逆向的工具进行下载。

配置java环境,逆向后存放文件位置就可以开始了...如下图↓

翻了一下目录在主程序代码看到了一个关键配置,如下↓

下面是配置163邮件发送的一些设置

类型 服务器名称 服务器地址 SSL协议端口号 非SSL协议端口号

收件服务器 POP pop.163.com 995 110

收件服务器 IMAP imap.163.com 993 143

发件服务器 SMTP smtp.163.com 465/994 25


看到这样的设置知道木马是发送邮件的了...里面一定有作者的邮箱!!!接着往下看

机智的我想到了搜索...其实这些想法是第二天才想起的,其中的弯路不说了,都是泪...

直接搜索字串符:const-string


0x007 木马功能
自带识别版本
下图包含了很多版本

获取信息如下:

贴不完上来,木马功能大概就是获取手机短信转发作者邮箱进行洗钱...

密码md5:dd467e0711e800716a4cfa7742a9d58d

MD5已经开始跑了,坐等密码出现,接着社工(期待后续篇章)

0x008 故事完结

当我查出这么多信息的时候我是想过是不是需要报警处理的

毕竟非常多人的上当,而且危害非常非常的大,大家赚钱也都不容易,何苦相逼。

到我发表文章为止数据依然在更新,还有许多无知的人发着银行卡号和密码过来...

但是想到天朝如此环境,扶老人都被讹。所以...我选择沉默

我不想做英雄

友情提示:远离黑阔,珍爱生命。

再次提示跳梁小丑:你没有被指定黑的价值,但是你有被黑的价值。

文中疑点:我全程打了马赛克,但是唯独留下了作者的手机号以及邮箱,呵呵,只可意会不可言传。


本文来自: 蜗蜗侠's Blog-关注网络安全 http://blog.icxun.cn/Web/548.html

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • 记一次钓鱼伪基站的渗透及木马分析

    记一次钓鱼伪基站的渗透及木马分析

    2017-02-21 14:43

网友点评
暂时未开启评论功能~