从前一篇文章了解电信诈骗与个人信息泄露的关系,同时也知道诈骗者利用“人性的弱点”对受害者进行“控制”,最终按照骗子的流程一步步操作造成严重的后果(钱没了)。上文提到的骗子会制造一些假象如制造官方logo、签章,同时也会利用不同的话术来引导操作。那么其中很重要的一环就是钓鱼网站
诈骗者为什么要用钓鱼网站呢?
诈骗者伪造看似真实的钓鱼网站,是为了更有效地实施诈骗,获取受害者的信任和敏感信息,从而谋取非法利益。
诈骗者用它一般都会干什么?
- 获取敏感信息:钓鱼网站通常会模仿银行、社交媒体、电子商务等知名网站,以骗取受害者的个人信息,如用户名、密码、银行卡信息、身份证明等。获取这些信息后,诈骗者可以进行身份盗用、非法购物、金融欺诈等犯罪活动。
- 传播恶意软件:诈骗者可能会在钓鱼网站中植入恶意软件,如病毒、木马、勒索软件等。当受害者访问这些网站或点击其中的链接时,恶意软件可能会悄悄安装在受害者的设备上,从而窃取数据、监控活动或进行其他破坏性操作。
- 实施网络钓鱼诈骗:诈骗者可能会在钓鱼网站上发布虚假的优惠券、折扣、奖品等,以诱使受害者提供个人信息或进行在线支付。当受害者上当后,诈骗者会窃取他们的资金和信息,而受害者则得不到任何实质性的回报。
- 增加欺诈成功率:通过精心设计的钓鱼网站,诈骗者可以增加欺诈活动的成功率。一个看似真实的网站更容易使受害者放松警惕,从而更容易上当受骗。
- 绕过安全防护:诈骗者会不断更新和优化钓鱼网站,以逃避网络安全工具的检测。通过模仿真实的网站,他们可以更容易地绕过一些安全防护措施,使诈骗活动更难被发现和阻止。
拿下钓鱼网站权限
首先我们从诈骗者那边给的网址,通过域名找到了真实的IP地址。
又通过访问IP地址访问到一个伪造的网站“中华人民共和国人力资源和社会保障部”的钓鱼网站,该网站做了手机校验,只允许手机打开。
通过抓取网站的数据包,找到真实的网站后按照惯例扫了下目录,发现一个a.asp 可能是有人来过了(被其他人控制过),猜测是一个一句话木马
那么可以尝试对着该文件爆破下参数看看碰碰运气,运气不错 爆出参数为style
通过webshell工具蚁剑连接发现该网站根目录下面存在多个木马文件。通过访问明显存在1122.asp的木马,打开为大马
借助根目录下的1122.asp大马把程序打包了份拉回来瞅瞅
简单代码审计
拿到源码后就简单看看这个程序,既然web根目录是有webshell的,那么首先关注下文件上传类型的漏洞
任意文件上传
根目录和管理目录存在upload.asp,代码基本一样,均可上传任意文件,只不过管理目录上传的位置在/include下,而且管理目录是独立于程序的,需要爆破下目录
上传接口1
上传接口2
如图
信息泄露
/include/cc.asp可以读取系统里所有的受害者姓名、手机等N要素
POST /upload.asp?processid=AN12303271506580057 HTTP/1.1Host: x.x.x.xUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/111.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: ASPSESSIONIDAQARSBRB=OACFDDIAAGCMJGMFAEKBOJAO; ASPSESSIONIDCSASRARB=JIMFCKJAGNHLKOGJLNDCFBFE; __51uvsct__JJgfXUpiasaD88qZ=1; __51vcke__JJgfXUpiasaD88qZ=3e8092cd-2f67-5c94-bfb6-e19df2f2f966; __51vuft__JJgfXUpiasaD88qZ=1679899580418; __vtins__JJgfXUpiasaD88qZ=%7B%22sid%22%3A%20%220d4ae3f8-c7e5-5e8d-8b5d-8b038d7b768d%22%2C%20%22vd%22%3A%202%2C%20%22stt%22%3A%2040280%2C%20%22dr%22%3A%2040280%2C%20%22expires%22%3A%201679901420688%2C%20%22ct%22%3A%201679899620688%7D; __51cke__=; __tins__21010943=%7B%22sid%22%3A%201679899652339%2C%20%22vd%22%3A%204%2C%20%22expires%22%3A%201679901477926%7D; __51laig__=4Connection: closeContent-Type: multipart/form-data; boundary=----WebKitFormBoundary9FtJsWRIcWXYpDzUContent-Length: 160
------WebKitFormBoundary9FtJsWRIcWXYpDzUContent-Disposition: form-data; name="file1";filename="aa.txt"
asdasd------WebKitFormBoundary9FtJsWRIcWXYpDzU--
批量同类网站
通过FOFA找到的信息泄露接口获取到多个疑似被骗的相关个人信息等
随机挑选一个幸运儿
在批量的时候看到有个大哥连着输了2次身份证。
网站功能
我们通过技术手段拿下了网站的控制权,那么我们最后了解一下诈骗者使用钓鱼网站还做了什么样的事情?
获取银行卡信息
获取法人信息
银行卡号信息
执照信息登记
支付宝信息
等等
<注意:获取网站权限为文章效果,皆为虚拟>
最后
保持警惕并了解如何识别钓鱼网站是保护自己免受网络诈骗的关键。钓鱼、诈骗一直在更新,定期更新您的网络安全知识,确保采取适当的预防措施,以降低成为受害者的风险。
常见的识别钓鱼网站方法;
- 了解常见的钓鱼攻击类型:如电子邮件钓鱼、社会工程学等。同时了解网络安全的最新趋势和威胁,定期更新自己的知识。与家人、朋友和同事分享这些信息,以提高他们的安全意识。可以关注公众号了解学习。
- 检查网址:仔细检查网址,确保它与您要访问的官方网站一致。是否属于官方域名如:政府是 gov 教育是edu 等
- 留意网站上错误:钓鱼网站可能包含拼写、语法或标点错误,这些可能是诈骗者疏忽造成的,也可能是故意为之以绕过安全过滤。
- 勿轻信来自陌生人的链接:不要随意点击电子邮件、短信或社交媒体上陌生人发来的链接,尤其是当它们包含诱人的优惠或奖品时。如果您认为链接可能是合法的,请直接访问该公司的官方网站,而不要通过链接进入。
- 使用安全防护工具:安装并更新防病毒软件、防火墙和其他网络安全工具,它们可以帮助您检测和拦截钓鱼网站。还可以使用网页安全检查工具,如谷歌安全浏览等,来检查网站的安全性。
- 注意网站的设计和功能:观察网站的整体设计、功能。钓鱼网站可能看起来不够专业,或者某些功能无法正常工作。就像这次所展示的那样只是一个静态页面。
- 谨慎提供个人信息:在提供个人信息、登录凭据或付款信息之前,请确保网站是真实的。
- 信任直觉:如果觉得某个网站看起来不太对劲,那么您的直觉可能是正确的。确认好是否是官方网站。