如何知道一个网站的后台地址_看我如何攻破LOL钓鱼网站后台查清背后的大量账号被盗号的真相…

如何知道一个网站的后台地址_看我如何攻破LOL钓鱼网站后台查清背后的大量账号被盗号的真相…说英雄联盟准备出手游,但内测资格一直没公开,有骗子利用这个机会,伪造官方给用户发送带有钓鱼链接的邮件来盗号。.方子就是其中一个受害者,除了他,我也去了英雄联盟的贴吧看了下,确实有很多人收到了这类邮件。由于反馈这事的人比较多,加上我平常也玩LOL,所以整理了下线索,开整。目前一共有两条线索。1.钓鱼邮件:j6****j9@***zol.com2.钓鱼网站:www.iku****.cn首先是发送钓鱼网…

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺

说英雄联盟准备出手游,但内测资格一直没公开,有骗子利用这个机会,伪造官方给用户发送带有钓鱼链接的邮件来盗号。.

4e24b674d0c45aa1c9bd24c9b9aa2269.png

方子就是其中一个受害者,除了他,我也去了英雄联盟的贴吧看了下,确实有很多人收到了这类邮件。

fc1b0237a89eee4910ea4e31c3e1ca8f.png

由于反馈这事的人比较多,加上我平常也玩LOL,所以整理了下线索,开整。

目前一共有两条线索。

1.钓鱼邮件:j6****j9@***zol.com

2.钓鱼网站:www.iku****.cn

首先是发送钓鱼网站的邮箱,从后缀来看是个,个人域名邮箱——也就不是我们平常用的那种QQ,网易,新浪邮箱

域名的主体我查了下,是一家叫【XX在线】的公司

0bcbea4364f24695278462d8524f1d3a.png

而网上提供临时邮箱的平台恰好也都是这类域名邮箱。

9bb6f59ab1852a012b96105f752ca824.png

虽然我不知道这家公司是怎么回事,但正常的黑产从业者是不可能直接用真实信息的,所以暂且归纳到假信息处理。

第二条线索是钓鱼网站,这个域名我同样去查了下注册人信息,叫冯某。

fe902ccc9e8e902659f1f59fd6bb50f0.png

注册邮箱是个QQ,我反查了一下,发现是买来的

a7966b8f877e0c6ea01637d101146aef.png

这儿你们就得记笔记了啊——凡是涉及到网络犯罪的域名,几乎全都是用别人身份实名的。

而这个钓鱼网站是1:1高仿的,打开后会弹出登录框,输入密码后自动跳转到真正的LOL官网上。

a03b37cc78c8215fc07832f67f2b43da.png

此时,你的密码则自动上传到钓鱼网站的后台当中。

我在登录框盲打了一波XSS脚本,发现居然有过滤机制。

XSS中文叫【跨站脚本攻击】,它是很普遍的一种网站漏洞,攻击者通过嵌入XSS脚本到网站中,用户访问后会触发到脚本,你也可以比喻成它是个捕兽夹。

既然存在过滤,那我转移方向——开始扫描这个网站的目录,找到一个叫rufeng的路径,访问进去发现是后台的登录地址。

a400e61babe83607cd97bafa5b311363.png

由于后台登录没有验证码防御机制,我用了一波常见的弱口令字典跑了一遍,以失败告终。

期间我又尝试SQL注入,但都未能如愿

最后在换个字典扫描网站的备份文件的时候,找出一个压缩包,里面有个数据库文件夹,查看里面的内容,一个username和pasword分别对应的意思是账号和密码。

c0d1451d882b16fbd52047a1f65b0204.png

我推测这可能是盗号者忘记删掉备份文件,也可能是他懒得删,毕竟网站后台的开发者信息他都没有删掉。

利用MD5解密这串字符,最终得到后台的账号为admin,密码如图所示。

b22176ddf4df160d4c6eeeb2911ddad2.png

5月15号,我进入后台,首先看了下数据,不多,大概就一百多条。

8ce6764a9fb24ae960e3571e1358939a.png

随后我查看后台的登陆日记,发现除了我的代理IP外还有一个广东IP在14号登陆过,但也不排除对方和我一样,用了代理IP的可能性。

ae1f6b969e0d4b50276a4d7154d2e636.png

这个后台很简单——只有数据查看和账号管理功能

1be9e7b48fe2c556bae5dbc29234df0c.png

我逛了一圈,没发现有能上传东西的地方,可能是开发者怕被人入侵后,拿shell?

但我无意中找到一个HTTP错误的页面,发现页面中显示物理路径,Web目录往上一个是英文+数字的组合(wl56***)根据多年的网站建设经验来看,这应该是FTP的用户名。

94030380f9d61ea8ee610b2b56923539.png

我反查了这个用户名,发现可能是个常用ID,因为有个贴吧账号也是叫这名儿

733f8395901013e9d873eae06e2f1aa4.png

这贴吧账号关注了一个叫钓鱼源码吧,这个B贴吧里面全是交流跟钓鱼网站有关的内容,不过截至我在发稿前,这贴吧已经被封掉。

还有一个叫转转钓鱼的贴吧也是一样,希望工作人员看到我这视频能处理一下。

9d3bc8c8facd6a1ce898d4709c02be3e.png

除此以外再无任何发现,一时之间陷入了困境。

5月16号,思考了一天,我换了个思路,开始查询这个域名绑定的IP,并且继续查询该IP下的其他域名

000ed0263e3eb026865d65ef5dafe5e7.png

其中有两个访问是这样的页面。

95a60620e00c11bb5304201d61299257.png

那么,也就是说,这个钓鱼网站很有可能是用某某互联科技的主机搭建的。

通过FTP的用户名和钓鱼网站后台的密码配合,登录该互联科技的控制面板,居然成功的进去了。

在账户设置中找到了他填写的手机号以及一个QQ邮箱。

dcac032af0c0146dac9dac6b4c215536.png

用手机号搜索支付宝,发现没有实名。

但这QQ号年龄有8年,所以我去了腾讯微博上搜索。

1481e9d05d9cf1eb984fa37873728268.png

找到一个账号,点进去找出了他曾经留下的痕迹。

比如,他曾经做了多年前很火的名字测试,90后的都应该玩过。

6e93bb4390563a27c95fa91c54f24347.png

又比如,他留下过曾经喜欢的女生名字,叫郭某。

dd6f2345b34152248a436e3498733c5e.png

并且还有一个最为关键的信息点——他的资料卡片上写着一个学校名字,通过搜索引擎结合手机号的归属地去查询,发现是一家初中学校,在哪个地方我就不说了,免得你们又玩地图炮

0ae979179be5a63d55b0b0bf79560748.png

最后进行一遍信息整理,在后面的挖掘中,我花了三天时间摸清了,这条黑色产业链的操作过程。

857faa7070afe73bf4e5690440e5f68b.png

在这条盗号产业链中,他们的行话称为QQ信封号。

首先是【取信】

一组QQ号和密码叫一个信,一千个号码才能组成一个信封。

何XX负责盗号,然后把这些账号封装起来,出售给专门收信的人。

只要密码是正确的,不管能不能登上去,一个账号只值六毛到八毛左右。

收信人买来这些账号后,会进行【洗信】。

这是第二道程序,首先是利用工具去批量测试这一个信封的号码,看看有多少个被冻结或者密码错误。

12ce90235d9cac9bbdff4b38c84f61d7.png

最后将那些密码对的账号,进行游戏装备清洗,比如转走你的游戏装备,积分,游戏币,等等。

而那些没有游戏装备的账号,还有一个用途是发空间说说,为其他黑产引流量,其中占据色情内容的比较多

ba856c80581c252da0f19bba0dcec9fd.png

何XX虽然负责盗号,但他其实只是一个【广告手】

广告手顾名思义就是发广告的,在他之上的人才是真正的盗号者。

一般会给广告手另开一个后台账户,或者给他一个域名,白天发广告,晚上后台看有多少人上当。

一百个账号有60-70个密码正确的,就按5毛钱一条算。

综合以上,其实我们的社会和黑色产业链的构成是一样的,处于底层的人抛头露面,而何XX实只是个工具人。

正如巫师所说,不用特别纠结这个字眼,天下熙熙谁又不是工具人呢

只是工具人能产生多少价值的问题,所以我没有再往下调查他。

520那天,我清空了钓鱼网站后台的数据,最后从百度云里翻出李志的歌,给自己点了一根烟,写下这篇稿子…

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/159478.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • scala 字符串转Int, Long 类型

    scala 字符串转Int, Long 类型valstringdemo="123456"valintdemo=stringdemo.toIntvallongdemo=stringdemo.toLong

  • python 生成EXE文件 并执行

    python 生成EXE文件 并执行1、电脑桌面,输入“win+R”组合键,在弹出窗口中输入“cmd”,点击确定。2、安装Pyinstaller,在cmd窗口,输入指令“pipinstallpyinstaller”进行网络安装、等待并且确认pyinstaller安装完毕3、安装完毕后,进入要生成exe文件的文件目录。使用指令“pyinstaller-Fxxx.py”生成exe文件。等待生成完毕后,回到源文件目录,在dist目录下,找到生成的exe文件,即可完成Python生成exe文件操作。用python.

  • 大数据:数据采集平台之Apache Flume

    大数据:数据采集平台之Apache Flume大数据:数据采集平台之ApacheFlume官网:https://flume.apache.org/Flume是Apache旗下的一款开源、高可靠、高扩展、容易管理、支持客户扩展的数据采集系统。Flume使用JRuby来构建,所以依赖Java运行环境。Flume最初是由Cloudera的工程师设计用于合并日志数据的系统,后来逐渐发展用于处理流数据事件。Flume设计成一个分布式…

  • VCL控件透明_textbox控件咋设置背景透明

    VCL控件透明_textbox控件咋设置背景透明代码TestPanel=class(Tpanel)publicprocedurePaint;override;end;procedureTestPanel.Paint;varR:TRect;begininherited;R:=ClientRect;DrawParentBackground(Self,Canvas.Hand…

  • Mac和iOS开发资源汇总

    Mac和iOS开发资源汇总

  • c浅拷贝和深拷贝的区别_js中深拷贝和浅拷贝的区别

    c浅拷贝和深拷贝的区别_js中深拷贝和浅拷贝的区别先考虑一种情况,对一个已知对象进行拷贝,编译系统会自动调用一种构造函数——拷贝构造函数,如果用户未定义拷贝构造函数,则会调用默认拷贝构造函数。先看一个例子,有一个学生类,数据成员时学生的人数和名字:#include<iostream>usingnam…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号