首页 安全文摘 正文

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。

大好,我是田浩。2020年5月14日,我刚注册公众号没多久,有个叫方子的男生发私信给我。说英雄联盟准备出手游,但内测资格一直没公开,有骗子利用这个机会,伪造官方给用户发送带有钓鱼链接的邮件来盗号。方子就是其中一个受害者,除了他,我也去了英雄联盟的贴吧看了下,确实有很多人收到了这类邮件。由于反馈这事的人比较多,加上我平常也玩LOL,所以整理了下线索,开整。1目

大好,我是田浩。

2020年5月14日,我刚注册公众号没多久,有个叫方子的男生发私信给我。

说英雄联盟准备出手游,但内测资格一直没公开,有骗子利用这个机会,伪造官方给用户发送带有钓鱼链接的邮件来盗号。

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第1张

方子就是其中一个受害者,除了他,我也去了英雄联盟的贴吧看了下,确实有很多人收到了这类邮件。

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第2张

由于反馈这事的人比较多,加上我平常也玩LOL,所以整理了下线索,开整。

1

目前一共有两条线索。

1.钓鱼邮件:j6****j9@***zol.com

2.钓鱼网站:www.iku****.cn

首先是发送钓鱼网站的邮箱,从后缀来看是个,个人域名邮箱——也就不是我们平常用的那种QQ,网易,新浪邮箱

域名的主体我查了下,是一家叫【XX在线】的公司。

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第3张

而网上提供临时邮箱的平台恰好也都是这类域名邮箱。

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第4张

虽然我不知道这家公司是怎么回事,但正常的黑产从业者是不可能直接用真实信息的,所以暂且归纳到假信息处理。

第二条线索是钓鱼网站,这个域名我同样去查了下注册人信息,叫冯某。

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第5张

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第6张

这儿你们就得记笔记了啊——凡是涉及到网络犯罪的域名,几乎全都是用别人身份实名的。

而这个钓鱼网站是1:1高仿的,打开后会弹出登录框,输入密码后自动跳转到真正的LOL官网上。

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第7张

此时,你的密码则自动上传到钓鱼网站的后台当中。

我在登录框盲打了一波XSS脚本,发现居然有过滤机制。

XSS中文叫【跨站脚本攻击】,它是很普遍的一种网站漏洞,攻击者通过嵌入XSS脚本到网站中,用户访问后会触发到脚本,你也可以比喻成它是个捕兽夹。

既然存在过滤,那我转移方向——开始扫描这个网站的目录,找到一个叫rufeng的路径,访问进去发现是后台的登录地址。

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第8张

由于后台登录没有验证码防御机制,我用了一波常见的弱口令字典跑了一遍,以失败告终。

期间我又尝试SQL注入,但都未能如愿

最后在换个字典扫描网站的备份文件的时候,找出一个压缩包,里面有个数据库文件夹,查看里面的内容,一个username和pasword分别对应的意思是账号和密码。

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第9张

我推测这可能是盗号者忘记删掉备份文件,也可能是他懒得删,毕竟网站后台的开发者信息他都没有删掉。

利用MD5解密这串字符,最终得到后台的账号为admin,密码如图所示。

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第10张

5月15号,我进入后台,首先看了下数据,不多,大概就一百多条。

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第11张

随后我查看后台的登陆日记,发现除了我的代理IP外还有一个广东IP在14号登陆过,但也不排除对方和我一样,用了代理IP的可能性。

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第12张

这个后台很简单——只有数据查看和账号管理功能

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第13张

我逛了一圈,没发现有能上传东西的地方,可能是开发者怕被人入侵后,拿shell?

但我无意中找到一个HTTP错误的页面,发现页面中显示物理路径,Web目录往上一个是英文+数字的组合(wl56***)根据多年的网站建设经验来看,这应该是FTP的用户名。

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第14张

我反查了这个用户名,发现可能是个常用ID,因为有个贴吧账号也是叫这名儿。

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第15张

这贴吧账号关注了一个叫钓鱼源码吧,这个B贴吧里面全是交流跟钓鱼网站有关的内容,不过截至我在发稿前,这贴吧已经被封掉。

还有一个叫转转钓鱼的贴吧也是一样,希望工作人员看到我这视频能处理一下。

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第16张

除此以外再无任何发现,一时之间陷入了困境。

2

5月16号,思考了一天,我换了个思路,开始查询这个域名绑定的IP,并且继续查询该IP下的其他域名。

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第17张

其中有两个访问是这样的页面。

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第18张

那么,也就是说,这个钓鱼网站很有可能是用某某互联科技的主机搭建的。

通过FTP的用户名和钓鱼网站后台的密码配合,登录该互联科技的控制面板,居然成功的进去了。

在账户设置中找到了他填写的手机号以及一个QQ邮箱。

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第19张

用手机号搜索支付宝,发现没有实名。

但这QQ号年龄有8年,所以我去了腾讯微博上搜索。

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第20张

找到一个账号,点进去找出了他曾经留下的痕迹。

比如,他曾经做了多年前很火的名字测试,90后的都应该玩过。

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第21张

又比如,他留下过曾经喜欢的女生名字,叫郭某。

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第22张

并且还有一个最为关键的信息点——他的资料卡片上写着一个学校名字,通过搜索引擎结合手机号的归属地去查询,发现是一家初中学校,在哪个地方我就不说了,免得你们又玩地图炮。

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第23张

最后进行一遍信息整理,在后面的挖掘中,我花了三天时间摸清了,这条黑色产业链的操作过程。

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第24张

3

在这条盗号产业链中,他们的行话称为QQ信封号。

首先是【取信】

一组QQ号和密码叫一个信,一千个号码才能组成一个信封。

何XX负责盗号,然后把这些账号封装起来,出售给专门收信的人。

只要密码是正确的,不管能不能登上去,一个账号只值六毛到八毛左右。

收信人买来这些账号后,会进行【洗信】。

这是第二道程序,首先是利用工具去批量测试这一个信封的号码,看看有多少个被冻结或者密码错误。

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第25张

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第26张

最后将那些密码对的账号,进行游戏装备清洗,比如转走你的游戏装备,积分,游戏币,等等。

而那些没有游戏装备的账号,还有一个用途是发空间说说,为其他黑产引流量,其中占据色情内容的比较多。

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第27张

何XX虽然负责盗号,但他其实只是一个【广告手】

广告手顾名思义就是发广告的,在他之上的人才是真正的盗号者。

一般会给广告手另开一个后台账户,或者给他一个域名,白天发广告,晚上后台看有多少人上当。

一百个账号有60-70个密码正确的,就按5毛钱一条算。

综合以上,其实我们的社会和黑色产业链的构成是一样的,处于底层的人抛头露面,而何XX实只是个工具人。

正如巫师所说,不用特别纠结这个字眼,天下熙熙谁又不是工具人呢

只是工具人能产生多少价值的问题,所以我没有再往下调查他。

520那天,我清空了钓鱼网站后台的数据,最后从百度云里翻出李志的歌,给自己点了一根烟,写下这篇稿子...

我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。 安全文摘 安全文摘  第28张

文由微信公众号:公孙田浩

海报

本文转载自互联网,如有侵权,联系删除

转载请注明本文地址:https://heibai.org.cn/1750.html

相关推荐

从偶遇Flarum开始的RCE之旅

从偶遇Flarum开始的RCE之旅

事先声明:本次测试过程完全处于本地或授权环境,仅供学习与参考,不存在未授权测试过程,请读者勿使用该漏洞进行未授权测试,否则作者不承担任何...

WEB安全 2022-08-21 0 10258

2022年蓝队初级护网总结

2022年蓝队初级护网总结

一. 设备误报如何处理? 答:来自外网的误报说明安全设备需要进行策略升级,不需要处置。如果是来自内网的误报可以和负责人协商一下...

安全文摘 2022-08-21 0 10100

发布评论

ainiaobaibaibaibaobaobeishangbishibizuichiguachijingchongjingdahaqiandaliandangaodw_dogedw_erhadw_miaodw_tuzidw_xiongmaodw_zhutouganbeigeiliguiguolaiguzhanghahahahashoushihaixiuhanheixianhenghorse2huaixiaohuatonghuaxinhufenjiayoujiyankeaikeliankouzhaokukuloukunkuxiaolandelinileimuliwulxhainiolxhlikelxhqiuguanzhulxhtouxiaolxhwahahalxhzanningwennonuokpinganqianqiaoqinqinquantouruoshayanshengbingshiwangshuaishuijiaosikaostar0star2star3taikaixintanshoutianpingtouxiaotuwabiweifengweiquweiwuweixiaowenhaowoshouwuxiangjixianhuaxiaoerbuyuxiaokuxiaoxinxinxinxinsuixixixuyeyinxianyinyueyouhenghengyuebingyueliangyunzanzhajizhongguozanzhoumazhuakuangzuohenghengzuoyi
感谢您的支持