我攻破了LOL钓鱼网站后台，查清背后的盗号黑色产业链。

大好，我是田浩。

2020年5月14日，我刚注册公众号没多久，有个叫方子的男生发私信给我。

说英雄联盟准备出手游，但内测资格一直没公开，有骗子利用这个机会，伪造官方给用户发送带有钓鱼链接的邮件来盗号。

方子就是其中一个受害者，除了他，我也去了英雄联盟的贴吧看了下，确实有很多人收到了这类邮件。

由于反馈这事的人比较多，加上我平常也玩LOL，所以整理了下线索，开整。

1

目前一共有两条线索。

1.钓鱼邮件：j6****j9@***zol.com

2.钓鱼网站：www.iku****.cn

首先是发送钓鱼网站的邮箱，从后缀来看是个，个人域名邮箱——也就不是我们平常用的那种QQ，网易，新浪邮箱

域名的主体我查了下，是一家叫【XX在线】的公司。

而网上提供临时邮箱的平台恰好也都是这类域名邮箱。

虽然我不知道这家公司是怎么回事，但正常的黑产从业者是不可能直接用真实信息的，所以暂且归纳到假信息处理。

第二条线索是钓鱼网站，这个域名我同样去查了下注册人信息，叫冯某。

这儿你们就得记笔记了啊——凡是涉及到网络犯罪的域名，几乎全都是用别人身份实名的。

而这个钓鱼网站是1：1高仿的，打开后会弹出登录框，输入密码后自动跳转到真正的LOL官网上。

此时，你的密码则自动上传到钓鱼网站的后台当中。

我在登录框盲打了一波XSS脚本，发现居然有过滤机制。

XSS中文叫【跨站脚本攻击】，它是很普遍的一种网站漏洞，攻击者通过嵌入XSS脚本到网站中，用户访问后会触发到脚本，你也可以比喻成它是个捕兽夹。

既然存在过滤，那我转移方向——开始扫描这个网站的目录，找到一个叫rufeng的路径，访问进去发现是后台的登录地址。

由于后台登录没有验证码防御机制，我用了一波常见的弱口令字典跑了一遍，以失败告终。

期间我又尝试SQL注入，但都未能如愿

最后在换个字典扫描网站的备份文件的时候，找出一个压缩包，里面有个数据库文件夹，查看里面的内容，一个username和pasword分别对应的意思是账号和密码。

我推测这可能是盗号者忘记删掉备份文件，也可能是他懒得删，毕竟网站后台的开发者信息他都没有删掉。

利用MD5解密这串字符，最终得到后台的账号为admin，密码如图所示。

5月15号，我进入后台，首先看了下数据，不多，大概就一百多条。

随后我查看后台的登陆日记，发现除了我的代理IP外还有一个广东IP在14号登陆过，但也不排除对方和我一样，用了代理IP的可能性。

这个后台很简单——只有数据查看和账号管理功能

我逛了一圈，没发现有能上传东西的地方，可能是开发者怕被人入侵后，拿shell？

但我无意中找到一个HTTP错误的页面，发现页面中显示物理路径，Web目录往上一个是英文+数字的组合（wl56***）根据多年的网站建设经验来看，这应该是FTP的用户名。

我反查了这个用户名，发现可能是个常用ID，因为有个贴吧账号也是叫这名儿。

这贴吧账号关注了一个叫钓鱼源码吧，这个B贴吧里面全是交流跟钓鱼网站有关的内容，不过截至我在发稿前，这贴吧已经被封掉。

还有一个叫转转钓鱼的贴吧也是一样，希望工作人员看到我这视频能处理一下。

除此以外再无任何发现，一时之间陷入了困境。

2

5月16号，思考了一天，我换了个思路，开始查询这个域名绑定的IP，并且继续查询该IP下的其他域名。

其中有两个访问是这样的页面。

那么，也就是说，这个钓鱼网站很有可能是用某某互联科技的主机搭建的。

通过FTP的用户名和钓鱼网站后台的密码配合，登录该互联科技的控制面板，居然成功的进去了。

在账户设置中找到了他填写的手机号以及一个QQ邮箱。

用手机号搜索支付宝，发现没有实名。

但这QQ号年龄有8年，所以我去了腾讯微博上搜索。

找到一个账号，点进去找出了他曾经留下的痕迹。

比如，他曾经做了多年前很火的名字测试，90后的都应该玩过。

又比如，他留下过曾经喜欢的女生名字，叫郭某。

并且还有一个最为关键的信息点——他的资料卡片上写着一个学校名字，通过搜索引擎结合手机号的归属地去查询，发现是一家初中学校，在哪个地方我就不说了，免得你们又玩地图炮。

最后进行一遍信息整理，在后面的挖掘中，我花了三天时间摸清了，这条黑色产业链的操作过程。

3

在这条盗号产业链中，他们的行话称为QQ信封号。

首先是【取信】

一组QQ号和密码叫一个信，一千个号码才能组成一个信封。

何XX负责盗号，然后把这些账号封装起来，出售给专门收信的人。

只要密码是正确的，不管能不能登上去，一个账号只值六毛到八毛左右。

收信人买来这些账号后，会进行【洗信】。

这是第二道程序，首先是利用工具去批量测试这一个信封的号码，看看有多少个被冻结或者密码错误。

最后将那些密码对的账号，进行游戏装备清洗，比如转走你的游戏装备，积分，游戏币，等等。

而那些没有游戏装备的账号，还有一个用途是发空间说说，为其他黑产引流量，其中占据色情内容的比较多。

何XX虽然负责盗号，但他其实只是一个【广告手】

广告手顾名思义就是发广告的，在他之上的人才是真正的盗号者。

一般会给广告手另开一个后台账户，或者给他一个域名，白天发广告，晚上后台看有多少人上当。

一百个账号有60-70个密码正确的，就按5毛钱一条算。

综合以上，其实我们的社会和黑色产业链的构成是一样的，处于底层的人抛头露面，而何XX实只是个工具人。

正如巫师所说，不用特别纠结这个字眼，天下熙熙谁又不是工具人呢

只是工具人能产生多少价值的问题，所以我没有再往下调查他。

520那天，我清空了钓鱼网站后台的数据，最后从百度云里翻出李志的歌，给自己点了一根烟，写下这篇稿子...

文由微信公众号：公孙田浩