吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.40881110.com

 ?#19968;?#23494;码
 注册[Register]

QQ登录

只需一步£¬快速开始

查看: 18545|回复: 418
上一主题 下一主题

[PC样本分析] 群邮件钓鱼软件的简单分析并拿到后台

    [复制链接]
跳转到指定楼层
楼主
xuing 发表于 2019-3-2 12:04 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护£¬压缩密码:52pojie£¬否则会导致论坛被杀毒软件等误报£¬论坛有权随时删除相关附件和帖子£¡
本帖最后由 xuing 于 2019-3-16 12:47 编辑



不知道从何时起£¬qq群邮件就成为了钓鱼软件传播的一个绝佳场所£¬什么¡±萌妹变声器?#20445;¬¡?a href="http://www.40881110.com" target="_blank" class="relatedlink">破解UU加速器¡±¡£
我偶尔闲的无聊的时候£¬就会下载下来耗费几分钟逆(ti)向(chuan)一下.发现钓鱼软件总是要把自己服务器的账号密码写到软件里面¡£

现在我们来一起捋一捋这个事情¡£
首先£¬这些钓鱼软件会通过控件覆盖的方式盗取Steam账号密码£¬并且为了过Steam的安全验证需要将ssfn开头的授权文件上传到病毒作者服务器¡£


这个文件



控件覆盖


可以看到£¬这里的两个输入框和登录按钮都不是Steam自身的¡£
并且是浮在空中的¡£

然后通过腾讯快速登录的¡°漏洞?#20445;?#21363;通过本地的¡°localhost.ptlogin2.qq.com?#20445;?#25343;到cookies和token相关的登录信息£¬借此可以群发邮件£¬强行加好友£¬加群£¬发表说说等¡£这块有很多人都聊过了£¬原理也不算难¡£网上资料很多£¬我就不在此赘述了¡£

下图£¬画圈的部分£¬就是批量发送群邮件相关的?#22336;?#20018;¡£

?#22336;?#20018;提取

其中£¬http://www.laohe788.com/zhuti.txt为邮件标题¡£
http://www.laohe788.com/zhengwen.txt为邮件内容

这么多钓鱼软件£¬我简单分析了一下£¬稍微见证了下作者的成长¡£

1月9号左右£¬作者传输盗号信息£¨俗称收信£©是通过直?#37038;?#29992;远程访问mysql服务器£¬执行sql语句(insert into xxx)来实现的¡£
其中mysql的账号密码£¬并没有在软件中明文存储£¬做了混淆£¬直接IDA提串是看不到的¡£

下图是用火绒剑抓到的登录数据包¡£

火绒剑截图

上图中的a1214170409£¬分别是mysql账号和数据库名¡£

根据Mysql的登录协议£¬密码不会直?#29992;?#25991;传输的¡£所以通过火绒剑¡¢Wireshark这类软件虽然可以抓到登录数据包£¬但是并不能直接看到数据库密码¡£
所以这里需要使用OD调试£¬拿到的账号密码如下£º

OD调用栈


服务器地址 host1.webhostidc.net
当时指向的ip为£º103.234.97.196
账号以及数据库名均为£ºa1214170409¡£
密码为£º7a7ef802

当时的部分截图如下£º


我帮他把数据库了清空一下£¬就没管了¡£接下来£¬1月16号开始£¬作者就更换为PHP收信了¡£我以为他学聪明了...不会把自己的账号密码再放到程序里了£¬结果他为了传输Steam的ssfn授权文件£¬把自己的ftp账号密码写在了程序里面...

这时他的信息如下£º

服务器地?#32602;ºhost1.webhostidc.net
收信网?#32602;ºwww.sk404.com/muma/jianpanjilu.php
账号£ºyy4961627321
密码:C7A1E537B84be3

这个时候数据库内容没截图¡£现在已经登不上了¡£


所以直接看近期的吧£¬2月17号的£¨这个也已经连不上了£©

ftp服务器地?#32602;ºhost1.webhostidc.net
收信网?#32602;ºhttp://www.laopohehe.top/muma/jianpanjilu.php
密码£ºU2z3H7X6
账号£ºlaopoheheda

还有很多£¬不一一列举了£¬反正就是一个作者或一批人£¬并且死脑筋...偶尔加个Super-EC£¬或者加个壳¡£反正就是要把账号密码写到程序里¡£mdzz¡£我们看最新的(2月27号)¡£

FTP服务器£ºhost1.webhostidc.net
账号£ºlaopoheheda
密码£ºD3271E5EFD05d6


FTP登录进去£¬发现这zz的ftp服务器¡¢mysql服务器和http服务器都是一台£¬ftp就可以看到http服务器的所有php文件了£¬查看config.php£¬可以看到mysql的账号密码

config.php
最新的另一个¡£


服务器£º103.214.169.225
账号£ºlaopohehe
密码£ºU2z3H7X6


这个的数据库账号密码是相同的¡£话说看这些命名¡£可以确定是一伙人在作?#28014;?#24076;望这些信息的曝光£¬可以增加他们的一些犯罪成?#23613;?/font>

接下来是钓鱼软件内无账号密码

这种钓鱼软件内无账号密码的£¬我就看到一个...
www.lanzouyundown.com里面下载的¡°Apex英雄Origin解除限速¡±为例¡£提取?#22336;?#20018;£¬没有发现账号密码相关的?#22336;?#20018;£¬因为内部使用了Super-EC模块£¬怀疑是中途解密的£¬使用OllyDbg进行调试并辅以Wireshark进行抓包¡£

抓包图


可以看到£¬这个http请求中£¬shuju1代表snfn名称¡£(然后name和pass£¬我初步猜测是用于区分是手下哪个小弟盗的£¬因为可以通过这个直接在网页中获取数据)

shuju4是什么呢£¿?#28909;?#27809;有看到有ftp相关的流量£¬调试中也没有发现¡£会不会这就是ssfn文件的16进制表示呢¡£使用010editor打开本地的snfn文件£¬

010editor


可以发现和流量包中shuju4字段的内容是一致的¡£作者终于不使用ftp来传输文件了¡£

那就需要别的思路了¡£把主站(www.sk408.com)拿AWVS和御剑什么的简单扫了一下£¬发现是DedeCMS的系?#24120;?#29256;本是V57_SP2¡£找了一下相关漏洞£¬但是member功能关闭了£¬没有利用成功¡£后台简单扫了一下没扫出来£¬爆破后台的漏?#27492;?#20046;也修复了¡£(最后通过他自己的描述找到了后台地?#32602;ºwww.sk408.com/suyi_ht/)

作者用于记录数据的php文件为www.sk408.com/muma/jianpanjilu.php
然后£¬根据之前我们ftp中得到的php文件£¬我们可以做一下简单的代码审计¡£

jianpanjilu.php源代码


sql语句是拼装的£¬也没做任何的检查或过滤¡£直?#30001;Ïsqlmap£¬一把梭¡£
sqlmap -u "http://www.sk408.com/muma/jianpanjilu.php" --data "name=123&pass=123&username=qwe&password=qwe&ip=2.2.2.2&shuju1=123&shuju2=qwe&shuju3=qwe" --tamper=space2comment --random-agent --level 3 --dbs


数据库信息


服务器信息
web server operating system: Windows 2003 or XP
web application technology: ASP.NET, Microsoft IIS 6.0, PHP 5.2.17


数据库账号是shikong£¬但是不是DBA权限¡£所以没办法读取密码¡£不过数据库是可以dump下来的£¬也可以搞些破坏£¬大家可以自?#21644;æ¡?/font>

如果找到了其他漏洞£¬欢迎交流¡£


相关样本下载地?#32602;?/font>
www.lanzouyundown.com
www.Laohe788.com
www.ob718.com
www.45a6.cn
www.ob408.com
www.lanzouwangpan.com

钓鱼后台源码.zip

3.78 KB, 下载?#38382;? 412, 下载积分: 吾爱币 -1 CB

钓鱼后台源码

免费评分

参与人数 246吾爱币 +234 热心值 +215 收起 理由
YaoTang + 1 + 1 我很赞同£¡
wyq7013328 + 1 + 1 用心讨论£¬?#19981;?#25552;升£¡
AxsMay + 1 + 1 我很赞同£¡
woaidachushifu + 1 + 1 谢谢@Thanks£¡
hack现实 + 1 我很赞同£¡
Jack_007 + 1 + 1 用心讨论£¬?#19981;?#25552;升£¡
sjw823770059 + 1 + 1 用心讨论£¬?#19981;?#25552;升£¡
Umiao + 1 + 1 我之前遇到过£¬还输入了密码£¬然后发现不对后马上改了密码
final10 + 1 + 1 谢谢@Thanks£¡
tiefeifei + 1 + 1 热心回复£¡
zhang2000 + 1 + 1 够专业
ZJMMM + 1 + 1 用心讨论£¬?#19981;?#25552;升£¡
sanhun + 1 用心讨论£¬?#19981;?#25552;升£¡
皮卡卡 + 1 + 1 大佬£¡
不觉不得 + 1 谢谢@Thanks£¡
loqiu + 1 用心讨论£¬?#19981;?#25552;升£¡
zhangchuan6000 + 1 + 1 用心讨论£¬?#19981;?#25552;升£¡
温柔xxx + 1 + 1 热心回复£¡
©I¥Ü西?#31995;?/a> + 1 用心讨论£¬?#19981;?#25552;升£¡
kanglf + 1 + 1 谢谢@Thanks£¡
拉普拉斯方程 + 1 + 1 我很赞同£¡
dns2018 + 1 我很赞同£¡
Delicacies + 1 谢谢@Thanks£¡
yly8848 + 1 热心回复£¡
追风功 + 1 + 1 不明觉厉
75292875 + 1 + 1 赞£¡£¬高?#27490;?/td>
奎奎 + 1 谢谢@Thanks£¡
openyy + 1 + 1 热心回复£¡
gongxiaojie + 1 + 1 鼓励转贴优秀软件安全工具和文档£¡大哥666
stardust21 + 1 + 1 我很赞同£¡
安陌 + 1 + 1 这就叫专业
q274150901 + 1 + 1 谢谢@Thanks£¡
a862427375 + 2 + 1 用心讨论£¬?#19981;?#25552;升£¡
skuld + 1 谢谢@Thanks£¡
完美蚂蚁 + 1 谢谢@Thanks£¡
二十五画生~ + 1 谢谢@Thanks£¡
刘彦辉 + 1 + 1 用心讨论£¬?#19981;?#25552;升£¡
断蒸纯 + 1 欢迎分析讨论交流£¬吾爱破解论坛有你更精彩£¡
Qiudl + 1 太秀了
Mete0r + 1 我很赞同£¡
sadman1119 + 1 + 1 用心讨论£¬?#19981;?#25552;升£¡
gaopenghy + 1 + 1 为何会有一种戏剧感
依然小圣 + 1 + 1 优秀
南风杨子2022 + 1 + 1 用心讨论£¬?#19981;?#25552;升£¡
江湖一小刀 + 1 + 1 仗义江湖
xsdcoj + 1 + 1 欢迎分析讨论交流£¬吾爱破解论坛有你更精彩£¡
xiaopana + 1 我很赞同£¡
Bill_Zhu + 1 谢谢@Thanks£¡
evesky + 1 + 1 谢谢@Thanks£¡
fuzball + 1 + 1 欢迎分析讨论交流£¬吾爱破解论坛有你更精彩£¡
hotbone + 1 热心回复£¡
旧时光..... + 1 + 1 谢谢@Thanks£¡
kwan8888 + 1 + 1 谢谢@Thanks£¡
acsda354 + 1 + 1 谢谢@Thanks£¡
shixinlan + 1 + 1 谢谢@Thanks£¡
sen888 + 1 + 1 谢谢@Thanks£¡
破碎¤£ + 1 + 1 干得漂亮
Braycep + 1 + 1 用心讨论£¬?#19981;?#25552;升£¡
lbllevchin + 1 + 1 我很赞同£¡
在那悠远的穹 + 1 我很赞同£¡
yingzi + 1 谢谢@Thanks£¡
Sanstyle01 + 1 + 1 谢谢@Thanks£¡
邓大叶 + 1 用心讨论£¬?#19981;?#25552;升£¡
Mind_M + 1 欢迎分析讨论交流£¬吾爱破解论坛有你更精彩£¡
52ECHO + 1 优秀破解员不少£¬有趣的破解员不多¡£楼主是一个¡£
那年281 + 1 + 1 我很赞同£¡
luoluoovo + 1 + 1 鼓励转贴优秀软件安全工具和文档£¡
葱?#36153;?/a> + 1 + 1 谢谢@Thanks£¡
22222 + 1 + 1 我很赞同£¡
soyiC + 1 + 1 ?#34892;?#21457;布原创作?#32602;?#21566;爱破解论坛因你更精彩£¡
tianyaqpzm + 1 + 1 用心讨论£¬?#19981;?#25552;升£¡
zzzain46 + 1 + 1 用心讨论£¬?#19981;?#25552;升£¡
yzyuan007 + 1 谢谢@Thanks£¡
luoyongming123 + 1 + 1 鼓励转贴优秀软件安全工具和文档£¡
途院长 + 1 + 1 热心回复£¡
PearlyNautilus + 1 + 1 鼓励转贴优秀软件安全工具和文档£¡
玄觞 + 1 + 1 我很赞同£¡
jiejie2ningning + 1 + 1 厉害啊
tony198911 + 1 + 1 鼓励转贴优秀软件安全工具和文档£¡
mustard666 + 1 + 1 用心讨论£¬?#19981;?#25552;升£¡
萌小蕾 + 1 ?#34892;?#21457;布原创作?#32602;?#21566;爱破解论坛因你更精彩£¡
THH-3013 + 1 + 1 用心讨论£¬?#19981;?#25552;升£¡
laughingsir38 + 1 + 1 热心回复£¡
voidxxl7 + 1 + 1 我很赞同£¡
zifangsky + 1 + 1 我很赞同£¡
cai1898 + 1 用心讨论£¬?#19981;?#25552;升£¡
viptot + 1 + 1 膜拜大神
Z_Alex + 1 + 1 我很赞同£¡
影子代言人 + 1 + 1 用心讨论£¬?#19981;?#25552;升£¡
高冷的狼人 + 1 大神 收徒吗£¡£¡£¡£¡£¡
这是追求不是梦 + 1 + 1 我很赞同£¡
zhongjiezhe + 1 + 1 谢谢@Thanks£¡
水?#25490;Տ段?/a> + 1 + 1 欢迎分析讨论交流£¬吾爱破解论坛有你更精彩£¡
woaijiepai + 1 + 1 谢谢@Thanks£¡
猫宫日向 + 1 用心讨论£¬?#19981;?#25552;升£¡
wsd028 + 1 + 1 我很赞同£¡
懵逼猫咪 + 1 + 1 谢谢@Thanks£¡
dzcgl + 1 + 1 用心讨论£¬?#19981;?#25552;升£¡
认定666 + 1 + 1 鼓励转贴优秀软件安全工具和文档£¡
9h0st + 1 用心讨论£¬?#19981;?#25552;升£¡

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用¡¾论坛搜索¡¿功能£¬那里可能会有你要找的答案或者已经有人发布过相同内容了£¬请勿重复发帖¡£

推荐
 楼主| xuing 发表于 2019-3-2 12:17 |楼主
本帖最后由 xuing 于 2019-3-2 12:27 编辑

沙发自己占了..排版和文字都不是很好£¬大家将就看吧£¨捂脸
推荐
mmji 发表于 2019-3-2 12:19
推荐
eshao2010 发表于 2019-3-2 13:07
你不把他服务器破坏了£¬真是对不起小?#35013;¡£?/td>
推荐
zhaotianrun 发表于 2019-3-4 20:54
willJ 发表于 2019-3-4 09:37
哈哈哈£¬你这么一搞£¬对方又要做技术升级了¡£

这套技术一开始是SMTP的邮箱收发£¬后来被搞了£¬之后又有了asp£¬php收信£¬之后在进化就进化出好多了£¬?#28909;?#35828;ftp£¬mysql什么的£¬但是最不好搞的还是?#20999;?php直?#37038;?#20449;的£¬基本上?#20999;?#20027;机都在国外£¬ 很难搞¡£¡£¡£
4#
子晗¡£ 发表于 2019-3-2 12:29
2333?#21387;?#25105;收到的?#20999;?#37038;件标题差不多£¬原来是同一个人干的
5#
ermao 发表于 2019-3-2 12:43
收到信息就屏蔽群邮件了£¬还是大老牛逼
6#
xzmc 发表于 2019-3-2 12:44
很强了好不好£¬
7#
Cholon 发表于 2019-3-2 12:50
laopohehe 老破呵呵
8#
信易达 发表于 2019-3-2 12:57
收到信息就屏蔽群邮件了£¬还是大老牛逼
9#
额微粒波地 发表于 2019-3-2 13:05
小白表示膜拜
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 提醒£º禁止复制他人回复等¡º恶意灌水¡»行为£¬违者重罚£¡

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2019-4-23 00:02

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表
Çò̽ÍøÀºÇòÖ¸Êý