实战 | 记一次曲折的钓鱼溯源反制
字数 1706 2025-08-27 12:33:37

钓鱼网站溯源反制实战教学文档

1. 钓鱼网站识别与初步分析

1.1 钓鱼网站识别特征

  • 伪装成QQ邮箱登录界面的钓鱼页面
  • 域名特征:http://****kak2.cn
  • 二次收集信息:在获取邮箱账号密码后,进一步收集个人信息

1.2 初步信息收集

  1. 域名信息查询

    • 使用站长工具查询域名注册信息
    • 获取注册人姓名(刘xx)和不完整邮箱
    • 通过微步查询获取完整邮箱和注册商信息(阿里云)

  2. 邮箱反查

    • 发现该邮箱在5-6月注册了多个钓鱼域名
    • 所有域名注册姓名一致,确认钓鱼行为

2. 钓鱼网站渗透测试

2.1 信息收集阶段

  1. 子域名扫描

    • 使用工具扫描未发现有效子域名

  2. 目录扫描

    • 发现/uploads目录但无访问权限(403)
    • 其他目录同样无有效信息

2.2 前端代码分析

  1. 发现表单提交使用自定义函数chk()
  2. 分析发现:
    • 使用AJAX提交数据到/wap目录
    • 身份证号有简单正则验证(18位数字)

2.3 SQL注入漏洞发现

  1. 漏洞确认

    • 在name参数后添加单引号导致报错
    • 确认存在SQL注入漏洞

  2. 手工注入尝试

    • 成功获取数据库名(a7)和版本信息
    • 尝试获取表名失败(权限不足)

  3. sqlmap自动化测试

    • 只能获取a7数据库信息
    • information_schema无法访问
    • os-shell尝试失败

  4. 文件写入尝试

    • 已知绝对路径(/www/wwwroot/p7.aka.cn/config/wap/)
    • 尝试写入webshell失败

3. 突破与后台获取

3.1 源码获取

  • 通过其他途径获取网站源码压缩包
  • 分析源码发现数据库配置文件,获取:
    • 数据库账号密码
    • 数据库名称

3.2 帝国备份王利用

  1. 发现后台

    • 源码分析发现后台路径从a1改为a7
    • 使用获取的数据库凭据成功登录

  2. 备份功能利用

    • 计划使用备份功能替换文件内容getshell
    • 因数据库连接问题暂时受阻

  3. 参数设置

    • 使用源码中获取的数据库信息配置连接
    • 成功建立数据库连接

4. 获取Webshell

4.1 文件替换技术

  1. 下载原始备份文件
  2. 使用帝国备份王的"替换文件内容"功能:
    • 原内容:config.php原有内容
    • 替换内容:冰蝎/哥斯拉木马

4.2 Webshell管理

  • 成功上传冰蝎和哥斯拉木马
  • 通过Webshell进行文件管理

5. 权限提升与服务器控制

5.1 反弹Shell

  • 使用冰蝎的反弹shell功能
  • 将shell反弹到Metasploit框架

5.2 提权操作

  1. 使用MSF的suggester模块识别提权方法
  2. 选择合适exploit成功提权至root

5.3 服务器信息收集

  1. SSH访问

    • 获取服务器SSH账号密码
    • 成功登录服务器

  2. 宝塔面板信息

    • 获取宝塔面板登录URL
    • 收集面板账号密码

  3. 阿里云AccessKey

    • 发现泄露的AccessKey
    • 使用专用工具(aliyun-accesskey-Tools)接管服务器

6. 总结与防御建议

6.1 攻击者失误总结

  1. 使用真实信息注册域名
  2. 未删除源码备份文件
  3. 使用开源CMS且未及时更新
  4. 数据库凭据硬编码在配置文件中
  5. 泄露阿里云AccessKey

6.2 防御建议

  1. 对网站管理员

    • 使用匿名方式注册域名
    • 定期清理备份文件和源码
    • 及时更新CMS和插件
    • 避免凭据硬编码,使用环境变量
    • 严格保护云服务AccessKey

  2. 对普通用户

    • 警惕要求输入个人信息的表单
    • 注意验证码保护机制不能完全防御钓鱼
    • 检查网站域名真实性
    • 不在可疑页面输入敏感信息

7. 工具清单

  1. 信息收集:

    • 站长工具
    • 微步在线

  2. 渗透测试:

    • sqlmap
    • 目录扫描工具(未具名)

  3. 后渗透:

    • 冰蝎/哥斯拉Webshell
    • Metasploit框架
    • aliyun-accesskey-Tools

8. 技术要点总结

  1. 从域名注册信息开始溯源
  2. 通过源码泄露获取关键凭据
  3. 利用开源CMS已知漏洞
  4. 通过备份功能文件替换getshell
  5. 系统提权与持久化控制
  6. 云服务凭据利用

本教学文档详细记录了从钓鱼网站识别到完全控制服务器的完整过程,涵盖了信息收集、漏洞利用、权限提升等关键环节,可作为类似钓鱼网站反制的参考流程。

钓鱼网站溯源反制实战教学文档 1. 钓鱼网站识别与初步分析 1.1 钓鱼网站识别特征 伪装成QQ邮箱登录界面的钓鱼页面 域名特征:http://**** kak2.cn 二次收集信息:在获取邮箱账号密码后,进一步收集个人信息 1.2 初步信息收集 域名信息查询 : 使用站长工具查询域名注册信息 获取注册人姓名(刘xx)和不完整邮箱 通过微步查询获取完整邮箱和注册商信息(阿里云) 邮箱反查 : 发现该邮箱在5-6月注册了多个钓鱼域名 所有域名注册姓名一致,确认钓鱼行为 2. 钓鱼网站渗透测试 2.1 信息收集阶段 子域名扫描 : 使用工具扫描未发现有效子域名 目录扫描 : 发现/uploads目录但无访问权限(403) 其他目录同样无有效信息 2.2 前端代码分析 发现表单提交使用自定义函数chk() 分析发现: 使用AJAX提交数据到/wap目录 身份证号有简单正则验证(18位数字) 2.3 SQL注入漏洞发现 漏洞确认 : 在name参数后添加单引号导致报错 确认存在SQL注入漏洞 手工注入尝试 : 成功获取数据库名(a7)和版本信息 尝试获取表名失败(权限不足) sqlmap自动化测试 : 只能获取a7数据库信息 information_ schema无法访问 os-shell尝试失败 文件写入尝试 : 已知绝对路径(/www/wwwroot/p 7.a ka.cn/config/wap/) 尝试写入webshell失败 3. 突破与后台获取 3.1 源码获取 通过其他途径获取网站源码压缩包 分析源码发现数据库配置文件,获取: 数据库账号密码 数据库名称 3.2 帝国备份王利用 发现后台 : 源码分析发现后台路径从a1改为a7 使用获取的数据库凭据成功登录 备份功能利用 : 计划使用备份功能替换文件内容getshell 因数据库连接问题暂时受阻 参数设置 : 使用源码中获取的数据库信息配置连接 成功建立数据库连接 4. 获取Webshell 4.1 文件替换技术 下载原始备份文件 使用帝国备份王的"替换文件内容"功能: 原内容:config.php原有内容 替换内容:冰蝎/哥斯拉木马 4.2 Webshell管理 成功上传冰蝎和哥斯拉木马 通过Webshell进行文件管理 5. 权限提升与服务器控制 5.1 反弹Shell 使用冰蝎的反弹shell功能 将shell反弹到Metasploit框架 5.2 提权操作 使用MSF的suggester模块识别提权方法 选择合适exploit成功提权至root 5.3 服务器信息收集 SSH访问 : 获取服务器SSH账号密码 成功登录服务器 宝塔面板信息 : 获取宝塔面板登录URL 收集面板账号密码 阿里云AccessKey : 发现泄露的AccessKey 使用专用工具(aliyun-accesskey-Tools)接管服务器 6. 总结与防御建议 6.1 攻击者失误总结 使用真实信息注册域名 未删除源码备份文件 使用开源CMS且未及时更新 数据库凭据硬编码在配置文件中 泄露阿里云AccessKey 6.2 防御建议 对网站管理员 : 使用匿名方式注册域名 定期清理备份文件和源码 及时更新CMS和插件 避免凭据硬编码,使用环境变量 严格保护云服务AccessKey 对普通用户 : 警惕要求输入个人信息的表单 注意验证码保护机制不能完全防御钓鱼 检查网站域名真实性 不在可疑页面输入敏感信息 7. 工具清单 信息收集: 站长工具 微步在线 渗透测试: sqlmap 目录扫描工具(未具名) 后渗透: 冰蝎/哥斯拉Webshell Metasploit框架 aliyun-accesskey-Tools 8. 技术要点总结 从域名注册信息开始溯源 通过源码泄露获取关键凭据 利用开源CMS已知漏洞 通过备份功能文件替换getshell 系统提权与持久化控制 云服务凭据利用 本教学文档详细记录了从钓鱼网站识别到完全控制服务器的完整过程,涵盖了信息收集、漏洞利用、权限提升等关键环节,可作为类似钓鱼网站反制的参考流程。