记一次偶遇某群某产继而入侵某BC内网的奇妙故事

01 前言

近日无事闲逛,偶遇某群有人在招程序员帮忙写Exp和收shell啊收0day啊,又觉近日无文章可写,所以便尝试社会一波大佬。

首先呢先问问套路一下,看看他干啥的.

 

这个人想找人帮忙写批量的Exp

然后假装自己能写,先套路一波,进入角色,让对方以为我真的可以写。

这里呢,我说我自己搭建了一个站点,用于测试,然后叫他链接shell试试看看。是否OK!

接着该目标并未上线,他将我搭建的站点发送给了他们手下的其他两个人。

02 技术一号

被我社工的这个某产人员,实际不懂技术,他将我的钓鱼页面发给了他们手下2个技术人员,其中一个上线的估计是个虚拟机,另外一个上线的则是物理机。所以这里只钓鱼到了一台。

这里一共上线了2台PC电脑,他们拥有统一的外网IP出口,柬埔寨显示地点,目前不知道真假。这个人就是我们所谓的脚本小子黑客。给各位看看他的PC都有那些资料。

脚本木马

各类实名证件

各种批量黑客工具

黑帽SEO关键词

入侵用的各类VPS机器

各类网站的账户

 

03 内网拓展渗透

每一个进程都有一个环境块,其中包含一组环境变量及其值。有两种类型的环境变量,用户环境变量和系统环境变量。

arp -a 看了一下。发现了如下机器。10多台。

192.168.1.1 78-44-fd-fd-55-b9 动态
  192.168.1.13          6c-8d-c1-18-aa-b2     动态        
192.168.1.24 dc-2b-2a-c2-22-15 动态
192.168.1.42 8c-8e-f2-4f-26-8f 动态
192.168.1.54 b0-fc-36-29-f7-ab 动态
192.168.1.62 b4-d5-bd-b2-29-e2 动态
192.168.1.81 38-53-9c-ee-31-7e 动态
192.168.1.83 38-71-de-13-4f-d8 动态
192.168.1.92 cc-29-f5-bc-b8-c1 动态
192.168.1.119 cc-44-63-18-08-4c 动态
192.168.1.137 6c-72-e7-5e-f9-7e 动态
192.168.1.143 a4-d9-31-89-3d-c4 动态
192.168.1.149 48-3b-38-45-4d-22 动态
192.168.1.171 cc-29-f5-78-70-87 动态
192.168.1.178 00-b3-62-7d-11-f6 动态
192.168.1.206 b0-fc-36-30-79-7b 动态
192.168.1.233 e4-f8-9c-9f-61-fe 动态
192.168.1.243 dc-41-5f-05-fe-ef 动态
192.168.1.255 ff-ff-ff-ff-ff-ff 静态
224.0.0.22 01-00-5e-00-00-16 静态
224.0.0.252 01-00-5e-00-00-fc 静态
224.210.34.44 01-00-5e-52-22-2c 静态
239.11.20.1 01-00-5e-0b-14-01 静态
239.255.255.250 01-00-5e-7f-ff-fa 静态
255.255.255.255 ff-ff-ff-ff-ff-ff 静态

读取当前计算的WIFI账户密码看看

netsh wlan show profiles

所有用户配置文件 : 2317RL-5G
    所有用户配置文件 : 2317-ATA-5G
所有用户配置文件 : HUAWEI-D91C
所有用户配置文件 : TP-LINK_6A68
所有用户配置文件 : Airtel-E5573-8318
所有用户配置文件 : TP-LINK_88T8
所有用户配置文件 : TB-LINK-96A9

netsh wlan show profile name="输入上图配置文件名称"

继续信息收集

这是一个上 an 网的黑客

 

04 后续

在经过长达三天的监控后,发现该名黑客的盈利方式。这个人打开了一个BC的代理管理平台,如下:

 

对他的账户经过分析,发现其是一个代理账户。然后下载其APP进行分析。发现上面都是一些:时时彩,以及一些赌博游戏,就跟赛马那种一样。只不过他这个是赛车。后台会生成大量的机器人,来制造很多人在跟你玩。

光机器人就达到了240多个

在线的真实用户不到10个

 

 

该名黑客每天的工作如下:

通过0day漏洞,例如最新的Ueditor的上传漏洞,IIS7.5的解析漏洞,DedeCMS的利用漏洞,等等各类批量化的漏洞,

其中使用的比较多的工具就是某批量化工具

 

 

然后上传他的BC页面,使用户下载APP,然后进入他所代理的房间。这样的话用户在该房间充值的钱都会算在这个代理的头上,从而实现盈利

截至目前发稿,该名黑客仍在进行IIS7.5的解析漏洞

 

导入了 300多w的网址在进行对Ueditor的上传漏洞进行批量化。

原文链接地址:https://www.hackdoor.org/d/216-bc
posted @ 2024-05-09 09:25  渗透测试中心  阅读(254)  评论(0编辑  收藏  举报