吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 16660|回复: 114
收起左侧

[PC样本分析] 【原创】记一次班级群的QQ钓鱼网站分析

    [复制链接]
Time丨Brand 发表于 2020-8-21 23:21
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 Time丨Brand 于 2020-8-23 18:09 编辑

记一次班级群的QQ钓鱼网站分析

前言

本人萌新一枚,在本版第二次发帖,可能有点错误之处,还请各位大佬多多关照。

基本信息

基本信息 描述
钓鱼网站来源 学校班级QQ群,上钩鱼儿发的腾讯在线文档
钓鱼网站短链(跳转至不同的二级域名) https://s.yam.com/dad8d
钓鱼网站防红链接 http://nvkp5.zgzmw.net/AcQuxM/loguce.ppt
钓鱼网站真实链接 http://yun34.hxzmdq.com/ / http://fa9.hxzmdq.com/
服务器IP地址 143.92.45.190

钓鱼文案截图

故意放一张模糊图片,还加个注

(如出现问题以上图片看不清楚请复制网址到浏览器登陆邮箱查询)这操作,也是醉了。。。
腾讯在线文档钓鱼内容.png

钓鱼网站分析

钓鱼存库链接抓取

  1. 登录到主站,随机输入合理位数的QQ及密码
  2. 打开Fiddler抓包(控制台调试,被js强制无限中断),点击钓鱼网站登录按钮。
  3. 找到存库Post请求链接,可以看到,钓鱼基本操作——鱼儿得手,跳到QQ邮箱官网。
  4. 经测试,如果数据库已有记录,会返回数据记录,所以,相同ID及密码第二次登录,结果如下图。【可能钓鱼源码作者忘记删掉调试代码了。- -】

钓鱼信息存库抓包.png

钓鱼信息存库抓包Post.png

服务器端口扫描

结果如图:
服务器端口扫描.png

  1. 首先,访问8888号端口,发现宝塔服务器面板入口,从结果中的873端口可知是 rsync服务,初步猜测可能使用了宝塔插件 宝塔数据同步工具 基于rsync开发的数据同步工具,可能不止一个服务器。

  2. 888号端口应该是phpmyadmin,默认入口无法访问,入口可能加了16个随机字符。

  3. 网站扫描发现几个有用的信息:

    描述 地址
    钓鱼网站安装地址 http://yun34.hxzmdq.com/install/
    钓鱼网站后台地址 http://yun34.hxzmdq.com/wocaonima/
    钓鱼网站安装地址 http://fa9.hxzmdq.com/install/
    钓鱼网站后台地址 http://fa9.hxzmdq.com/wocaonima/

钓鱼源码搜索

根据钓鱼网站安装地址中的QQ信息,搜索到相关源码,经验证,目录结构一致,可见出自同一作者。可惜源码均已加密,经搜索发现使用免费的【找源码】加密,根据本论坛大佬,解密得到所有源文件。接着看了看源码,本人才学疏浅,没发现可利用的漏洞。(PHP解密:zym加密 带乱码调试过程 https://www.52pojie.cn/thread-693641-1-1.html

数据库创建代码

DROP TABLE IF EXISTS `{DBQZ}_config`;</explode>
create table `{DBQZ}_config` (
`k` varchar(32) NOT NULL,
`v` text NULL,
PRIMARY KEY  (`k`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8;</explode>

INSERT INTO `{DBQZ}_config` (`k`, `v`) VALUES
('cache', ''),
('version', '100'),
('admin_user', 'admin'),
('admin_pwd', '21232f297a57a5a743894a0e4a801fc3'),
('style', '1'),
('sitename', '空间钓鱼管理中心'),
('title', ' '),
('description', ' '),
('kfqq', '123456'),
('kaurl', 'http://www.baidu.com'),
('logo', 'assets/images/amback.jpg'),
('qqjump', '0'),
('txprotect', '1'),
('txprotect_domain', 'www.baidu.com'),
('syskey', '1544422'),
('fxnet', '3'),
('cron', '123456');</explode>

DROP TABLE IF EXISTS `{DBQZ}_url`;</explode>
create table `{DBQZ}_url` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `yurl` varchar(150) NOT NULL,
  `url` varchar(500) NOT NULL,
  `tznet` int(11) NOT NULL DEFAULT '0',
  `nexttime` datetime NOT NULL,
  `addtime` datetime NOT NULL,
  `status` int(2) NOT NULL DEFAULT '0',
  PRIMARY KEY (`id`)
) ENGINE=MyISAM  DEFAULT CHARSET=utf8 AUTO_INCREMENT=0 ;</explode>

DROP TABLE IF EXISTS `{DBQZ}_list`;</explode>
CREATE TABLE IF NOT EXISTS `{DBQZ}_list` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `kind` tinyint(1) NOT NULL DEFAULT '1',
  `siteid` int(11) NOT NULL DEFAULT '1',
  `user` varchar(50) DEFAULT NULL,
  `pwd` varchar(50) DEFAULT NULL,
  `ip` varchar(32) DEFAULT NULL,
  `city` varchar(32) DEFAULT NULL,
  `date` datetime DEFAULT NULL,
  `hash` varchar(32) NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=MyISAM  DEFAULT CHARSET=utf8 AUTO_INCREMENT=0 ;

网站后台Cookie - admin_token 生成源码

<?php
$user='admin';
$pass='admin';
$password_hash = '!@#%!s!'; /* 这是默认的,不知有没有改 */
$SYS_KEY = '1544422'; /* 这是默认的,不知有没有改 */
$session=md5($user.$pass.$password_hash);
$token=authcode("{$user}\t{$session}", 'ENCODE', $SYS_KEY);
echo $token;
setcookie("admin_token", $token, time() + 604800);

function authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {
        $ckey_length = 4;
        $key = md5($key ? $key : ENCRYPT_KEY);
        $keya = md5(substr($key, 0, 16));
        $keyb = md5(substr($key, 16, 16));
        $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';
        $cryptkey = $keya.md5($keya.$keyc);
        $key_length = strlen($cryptkey);
        $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;
        $string_length = strlen($string);
        $result = '';
        $box = range(0, 255);
        $rndkey = array();
        for($i = 0; $i <= 255; $i++) {
                $rndkey[$i] = ord($cryptkey[$i % $key_length]);
        }
        for($j = $i = 0; $i < 256; $i++) {
                $j = ($j + $box[$i] + $rndkey[$i]) % 256;
                $tmp = $box[$i];
                $box[$i] = $box[$j];
                $box[$j] = $tmp;
        }
        for($a = $j = $i = 0; $i < $string_length; $i++) {
                $a = ($a + 1) % 256;
                $j = ($j + $box[$a]) % 256;
                $tmp = $box[$a];
                $box[$a] = $box[$j];
                $box[$j] = $tmp;
                $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
        }
        if($operation == 'DECODE') {
                if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
                        return substr($result, 26);
                } else {
                        return '';
                }
        } else {
                return $keyc.str_replace('=', '', base64_encode($result));
        }
}
?>

未完待续...

  1. 本此分析,发现黑产们,可能通过rsync服务,实现了数据的实时迁移,就算进入后台,清空数据库,损失也可能很小。
  2. 钓鱼网站尝试利用腾讯链接报红漏洞,阻止链接报红。
  3. 钓鱼主链接采用动态短网址,随时更换跳转目的地址,并且,目的地址采用动态二级域名,防止链接报毒或失效。

至此分析不下去了,望大佬继续跟进。

相似解密源码下载

同作者钓鱼源码.zip (851.86 KB, 下载次数: 273)

防范建议

  1. 班群在线文档有链接要警惕!
  2. 看见主域名非(qq.com/...)的,或者奇怪的二级域名和主域名一定不要随意打开
  3. 在QQ自带浏览器,获取手机内浏览器输入QQ账号密码前,要再三确认主域名!!!类似(qq.com.qqq.com/...,qq.com.q9.com/...)都是假的!!!

免费评分

参与人数 54吾爱币 +46 热心值 +47 收起 理由
alltheplayer + 1 + 1 我很赞同!
brosqin114514 + 1 学习了
zxc123Qwe789 + 1 + 1 用心讨论,共获提升!
Lobrow + 1 谢谢@Thanks!
Artio_ + 1 用心讨论,共获提升!
起航的宇航员 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
errorliveforeve + 1 我很赞同!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
iZM666 + 1 + 1 谢谢@Thanks!
56598006 + 1 我很赞同!
muyu1314520 + 1 已经处理,感谢您对吾爱破解论坛的支持!
又飘小雪 + 1 + 1 我很赞同!
年轻真是可怕 + 1 + 1 用心讨论,共获提升!
1248827423 + 1 + 1 热心回复!
blindcat + 1 + 1 用心讨论,共获提升!
屁嗝球 + 1 我很赞同!
514niubi + 1 我很赞同!
hakurei123 + 1 + 1 我很赞同!
Establish + 1 我很赞同!
哇哈哈大笑 + 1 热心回复!
大宇宙飘小地球 + 1 + 1 我很赞同!
Long234 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
0615 + 1 + 1 用心讨论,共获提升!
jitz11 + 1 + 1 我很赞同!
gky86886 + 1 + 1 我很赞同!
杰诺斯 + 1 + 1 谢谢@Thanks!
甜行天下 + 1 + 1 谢谢@Thanks!
大大怪and小小怪 + 1 我很赞同!
kevink1 + 1 谢谢@Thanks!
eshao2010 + 1 + 1 我很赞同!
内存空间不足 + 1 用心讨论,共获提升!
张小凡。 + 1 + 1 热心回复!
ml2077 + 1 谢谢@Thanks!
wanghshh + 1 我很赞同!
Lucifer_BW + 1 + 1 我很赞同!
仙鬼同拥 + 1 我点进去两个框都留空白点登陆竟然能点,是最简单的判别方法了
mykingdom + 1 我很赞同!
大头鬼Steven + 1 + 1 用心讨论,共获提升!
好好学习多挣钱 + 1 + 1 我很赞同!
1045837055lucy + 1 我很赞同!
1254qwer + 1 + 1 谢谢@Thanks!
cush + 1 + 1 热心回复!
g1994305 + 1 谢谢@Thanks!
asq56747277 + 1 + 1 谢谢@Thanks!
余佳卓 + 2 + 1 用心讨论,共获提升!
辶夺灬爱 + 1 + 1 谢谢@Thanks!
飞龙project + 2 + 1 用心讨论,共获提升!
我是聆风 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
schedule + 1 用心讨论,共获提升!
RongJ + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
小十二 + 1 + 1 我很赞同!
AlanSilence + 1 + 1 谢谢@Thanks!
为之奈何? + 1 + 1 我很赞同!
wenz + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

lhywa 发表于 2020-8-22 01:41
以前是僵尸号加群发群公告,现在换了套路改成腾讯文档了。在楼主之前,我也曾分析过几个这样的钓鱼网站,域名大多数是借用别人的信息或者假冒的信息注册的,IP大多数是香港的主机。这种钓鱼也就骗骗一般的计算机小白,懂行的基本上都是看域名不对劲直接关闭网页。
234150476 发表于 2020-8-22 00:54
我也遇到过班群有人用这个钓鱼,一看见那个wocaonima的目录名我就知道是同一个源码,一样停在数据库密码那了,最后没办法只能CC了一段时间没啥用写了个多线程注册机折腾了下发现群里也没人上当就不了了之了

免费评分

参与人数 1吾爱币 +1 收起 理由
不懂就问小小白 + 1 用心讨论,共获提升!

查看全部评分

sjq829 发表于 2020-8-21 23:27
sder33 发表于 2020-8-21 23:29
看起来很大佬
 楼主| Time丨Brand 发表于 2020-8-21 23:30
sjq829 发表于 2020-8-21 23:27
这个就是盗用他人信息的钓鱼吗?

嗯,面向学生,盗取QQ账号密码,进一步实施可能的诈骗、发违法广告、非法获取个人信息等一系列行为
lucky. 发表于 2020-8-21 23:35
现在QQ 只要不在常用地登陆就会提示风险,黑产还有啥用  卖数据吗
AlanSilence 发表于 2020-8-21 23:53
感谢分享!
大侠在路上 发表于 2020-8-22 00:01
感谢楼主分享,分析得很详细,要是再给力点让恶人得到恶报就完美了。
bennyt 发表于 2020-8-22 00:02
不错的经验,支持一下。
Zelfikar 发表于 2020-8-22 00:51
感谢分享!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 02:03

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表