通过上篇文章,也有很多人私聊我 有遇到过这种事情,有支持我这种做法的,有向我反馈更多类似诈骗方式的,希望我能帮助他们 希望我能多发写类似的文章,在这里说声抱歉,由于工作原因我也只能偶尔来帮助大家。非常感谢大家伙的支持,我也看到很多新老朋友在转发。 上篇文章主要写了渗透测试思路,本篇文章主要针对溯源过程做文章。
今日溯源你身份
测试记录帮了忙
搬起石头砸自己
自食其果最应得
浪子回头金不换
愿你来世做个人
通过该url(www.xxxx.com)的解析IP 103.xxx.xx.1 反查到历史解析域名
www.sxxxxbo.com
www.shxxxkan.com
www.shexxxao.com
可以看到结构是分为三个组 A、B、C
A组的shell后 我又拿下了c组的 Webshell 并进入数据库 但这里面显然没有什么东西
此时我将目标转向B组
因为B组的程序和C组的程序在同一台服务器上,我很快便翻到了B组的程序所在目录 并进入数据库查看一下信息
连接到数据库后 发现只有一部手机的信息
此时 我产生了一个大胆的想法,因为在我上一篇文章针对A组的 数据库登录日志 我也发现了 14段的超管IP 但那个缅甸的 我以为是相同IP 百度了一下IP是云南的
因为在上篇文章,大部分登录管理员也是云南的 所以 猜测 这个IP 是用来测试能否获取到数据所用
因为数据库里看的话比较乱,于是想登录到B组的后台系统看看有没有惊喜 通过拿到的密文没有成功解密
既然用的都是同一台机器 那加密方式也是一样的 这个时候我又进入了C组的数据库 将弱口令为xxxx的密码复制过来进行替换,当然在替换之前 我记录了原来的密文和登录IP
成功登录到后台
公安内部系统找到联系方式?您可真优秀。
云服务器、境外来电?
境外储值卡?TG?
缅甸?
广东省 ?当前手机号为
江苏 常州 中国联通 所以判断可能当时在广东省
我通过微信添加微信好友 但是 该账号异常
于是我想看一下有没有支付宝
可以 这很可爱 这再一次验证了 这个手机号就是诈骗团伙的
最后返回看到短信:xxx云服务器到期提醒
通过之前搜集到的数据库密码进行多次尝试 成功登录到这个云运营商的账户
通过实名信息 获取到目标的QQ
这个QQ也是与上篇文章一致。
我当时以为目标的网站也就在这个云运营商里面,但是我错了,里面只有一台机器,并且是8H4G10M 配置确实高 我通过该平台直接获取到密码 并且登录到这台服务器
打开ip发现存在一个网站
目测 是菠菜类或金融类
想从数据库翻出个配置文件 连接到数据库
一直提示密码错误
于是我便翻到了初始的sql文件
下载到本地导入看看
解密也是无果
通过数据库看到一些关键词
这个时候我看到网站配置表
于是百度看一下该系统,但百度的第一个就无情的让我自己分析
不过看数据库 八成也是一些股票菠菜类 铁定不是什么正经玩意儿
短信翻完没有其他的东西
于是去看通讯录
判多少年?
大片亲戚信息
截图了一些手机联系人 用来后期可能用于取证之类的。
到此 得到信息如下:
IP:14.xxx.xxx57
手机号:13xxxxxx71
通过多个亲属的手机号归属为 福建 莆田、福建 福州
通讯录某手机号 备注 本地液化气 手机归属为福建 莆田
目前在云南省玉溪市元江哈尼族彝族傣族自治县;玉溪市
邮箱:13xxxxxx71@163.com
姓名:黄某冬
性别:男
身份证号:530xxxxxxxxxxxxx32
我本人也会继续打击这种违法犯罪行为!维护网络安全!
最后奉劝大家,天下没有免费的午餐,天上掉馅饼未必是好事!
关注老李学渗透
分享点赞和在看
下方微信扫一扫
注明来意早通过
欢迎志同道合的朋友
