之前发的两篇文章,我不知道影响这么大,很多的公众号粉丝告诉我自己有着同样的经历,但只能任人宰割,一次又一次的被勒索。
但由于工作繁忙,我也不可能去帮助每一个人,希望大家能见谅,也提醒大家 遇到这种情况请先报警。
作为网络安全从业人员,我们应该去做一些力所能及的事情,每帮助一个受害者 我都感到非常的骄傲 我把我所掌握的技术用在了正路上, 我帮助了需要帮助的人,这很快乐。这也应该是正义白帽子该做的事情。
本篇文章的起因:公众号粉丝添加了我的微信,告诉我他的朋友被骗了2999。 好 你关注了我 帮!
因为上午我没有收到APP,所以我是直接去测试了WEB
后台的样子 框架和页面 与之前碰到的不一样。
刚好中午下班 没有验证码 就放在BURP跑了 吃完饭回来有几个长度不一样的
并且登录成功了,当然这是弱口令 只不过用户名是自己收集的。
刚开始只知道这个站为诈骗网站,以为是传销盘,结果进入一看 还是原来通讯录这些东西
但是权限是比较低的 没有上传 没有数据交互 已知宝塔面板
四处点了一下看到有个修改名字的位置 因为前端是纯Html的所以测试了一下XSS
当然 如果前端没有被过滤的话 一定是存在XSS的
于是打开了自己的XSS平台
访问测试了一下
剩下的就只有等了
第二天早上 我又打开了自己的XSS平台 发现新增两条COOKIE 以为是管理员的 替换sessid依然是原用户的
当然 还获取了内网IP
由于权限很小,我能看到的也只是当前用户 获取到的数据。 这时候就开始琢磨能否越个权 看看其他的
在当前用户的信息导出页面 可以查看到是先获取ID然后进行下载
那么久比较简单了
说实话…打码也是一种苦力活…..
删除操作也是根据ID参数 那这样的话 也是可以来任意删除的
统计了一下 大概2269个用户的通讯录、短信
在大概下午2点钟的时候,我收到了APP
安装后看了一下 界面简直花里胡哨 居然还有验证码功能
发了个验证码(无限发送)
在接码平台查到验证码后 继续抓包 此时可以看到我的通讯录 我大爷三叔的手机号 已经准备上传了。
当然 这都是假的~
上传完毕以后 APP会无情的告诉你:
这个时候再返回平台后台 就可以看到了
所以 该平台的流程基本可以摸清楚
总管理员开通多个用户设置一机一码机制(一个手机号生成一个码子,不可重复使用)上钩后果聊一对一完事勒索
接下来要做的事情:
先短信无限发包耗光它;继续搜集整理证据移交给警察叔叔
另外说出来大伙可能不信…
XSS获取到的IP:106.x.x.x 这次又是 云南省 电信
公众号:F11Team 欢迎交流、转载