导游词:通过链接的缝隙,我们看到了不同的人和故事。 谁也不知道他们是谁,从哪里来,接下来会发生什么。
对白帽和黑帽来说,链接就像墙一样,一个想堆起来,另一个想推倒。 从互联网诞生开始,这两者就一直断臂,从未停止过。
前几天,画面因“精神鸦片”一词而爆胎。 中央媒体直接点名网络游戏影响未成年的健康成长,引起社会的关注。 但是,谁都认为网络游戏只是网络中的鳞之一,这样的鳞在网络中有上千万,有不小的可能波及到池里的鱼。
我们大部分时间都沉浸在网上,成了名副其实的网络“mndl”。 在这个“精神鸦片”的网络时代,不仅是mdcb,大人也同样未能幸免。
我们每天收到各种各样的邮件。 大多数人可能一眼就删除,但如果收到的信息与自己密切相关,人们总是会多看几眼,或者点击链接。 无意中的点击也有可能将我们逼到偷窃的地步。
这种事屡见不鲜:
2021年4月5日,杜家庄大众点击未知链接,7万元不见。
2021年7月11日,牡丹江市一名男子点击未知链接,发现2千人不在。
.
8月5日,上海一家企业加强了服务器。 该公司老板说他的手机最近收到了很多未知的链接。 他年纪大了,防范意识不强,随手点击了链接。 虽然没有找到经济损失的原因,但他总是放心不下,害怕公司的机密文件会泄露。 根据他的要求确认这个链接。
根据APK的反向分析,我们发现该链接有权获取设备,包括获取联系人、接通电源、发送消息和阻止消息。
whois查询发现了域名下的邮箱和注册者xsdfk的信息。 用邮箱登录多个平台验证后,Alibaba云平台的手机号码显示为159******98。 光靠前面3位的数字无法判断电话的归属位置。 如果继续深挖手机号码,就必须考虑手机号码可能是别人的。
利用社会工作人员库进一步调查邮箱信息时,那个邮箱里也登记了网关。 打开微博时,上面有几个未知的链接。 更长的时间是8月6日。 我检查了上面所有的域名,域名绑定邮箱的信息相同。 到8月为止的大部分链接都不会再打开了。 我们发现所有可以打开的链接都来自同一个IP。 黑灰经选择了帝国CMS的电子商务业者链接攻击了j,尝试通过它获取服务器上的数据。 选择它的另一个理由是,过去这种类型的台渗透的情况也不少。
这次用于渗透的工具有sqlmap,但是在使用sqlmap渗透数据库的过程中,无法写入Webshell,找不到相关的配置文件,无法提取权利。 SQL-通过shell搜索获取了数据库的根帐户和密码等信息。 执行select@@datadir命令,获取数据库的保存位置,即“D:EmpireServer目录”下。 根据CMS程序的特性,基本上确定了EmpireServer的安装信息,并读取EmpireServer下的几个目录文件。 这还包括数据库配置文件getcon.php的读取信息。 需要注意的是,在读取该目录的信息时,请将“”替换为“/”。 否则,读取将失败。 再次尝试写入webshell失败,手动写入结果也相同。
虽然有点不可思议,但是即使知道根权限和网站的绝对路径等多个条件也没能取得。 稍后,我尝试加密webshell的写入,但结果相同。 分析结果表明,路由获取的账户可以直接远程登录到3389端口,最终实现get shell。 上传木马文件获取服务器上的一些信息。 其中收集到的信息有完整的手机号码(也就是上面提到的159个号码),手机归属黑龙江绥化,根据手机号码查询支付宝(Alipay )信息是很罕见的。 根据木马文件发送的信息,该链接将获取手机中的消息和联系信息,然后发送到指定的邮箱。 嫌疑人黑灰经怀疑,支付宝(Alipay )、手机号码和邮箱信息应该不是放马人的真实信息。
由于这台服务器上的数据很多,而且需要工作,所以整理数据总共花了5天左右。 这里也是,遇到未知程序时,注意尽量不要打开,避免不必要的损失。