最近网上疯传一份特别的“致富经”——《卤鹅宝典》,这份“宝典”提到,深圳有“卤大鹅考试”,只要懂得怎么做卤水,就能“搞钱”。
有网友称,“潮式卤味课程,培训费+材料费1100元!拿证后政府补贴1700元,稳赚600元!
随着2021年最后一批报考结束倒计时。一夜之间涌入了5万人报名,官网也因此陷入了拥堵......
正当大家争先恐后要报名时,网上出现了扫码即可报名的入口。扫了二维码发现直接跳转到填写报名信息的页面。由于使用的是手机扫码,并未察觉出任何异常。
作为一名网络安全的技术员,又怎么逃得过黑灰经的火眼晶晶。拿出该域名对比官网果然不一样,该链接仅限于信息填写,没有其他的提示,既然遇到了那就一探究竟。
通过对该域名进行解析,顺便查了一下服务器,发现是香港的。whois一下域名信息,注册信息用的是第三方机构注册,这也不奇怪。在过去追踪的过多个链接中,用在黑灰方面的链接大多是第三方机构注册的。
为了收集到更多的信息,使用nmap扫描端口。在这里黑灰经还是要啰嗦一下,在通往渗透的道路上,尽量少依赖工具,因为不利于你修炼成大神,当然你成大神了爱咋用无所谓了。
扫码端口并未发现匿名的ftp,但http支持TRACE,cookie中没有设置HttpOnly,看来有机会吃鸡腿了。鉴于是简单的页面,加上报名活动期间它就出现,渗透它应该没什么难度,所以就直接用默认的字典定向爆破,但无果。
渗透的道路上总是充满曲折,将所有的端口都扫码过遍,唯一能确认的是对方433和80端口是开放的,还有就是8888端口属于宝塔面板,爆破有点不切实际。
想到是扫码跳转到页面,上面说的那两个端口又是开放的,不妨试利用开发者工具记录一下。信息提交的页面仿得一模一样,胆子太肥了......
通过提交信息的接口返回的信息,发现对方使用的是Windows IIS 7.2 + ASP.NET的服务器(渗透过程中,这些要点信息要做好记录,防止后面用到)。
进一步寻找挖洞,发现提交报名信息后,该网站发送一条报名短信审核通知。只不过提示的短信是审核不通过,需要点击另一条链接查看不通过的原因。只要用户点击该链接就会跳转到S情网站。通过对该链接进一步追踪,发现域名及服务器都在海外。黑灰经并没有进一步去追踪该S情站点,因为就算渗透下来也没有实质作用。
我猜想他们的目的不仅仅是为了引流S情这么简单,否则一开始就应该将链接封装成二维码直接扫码引流到S情站了。他们应该是先获取到用户的信息后,顺便引流到了S情网站,可谓是一箭双雕!
为了认证猜想,还得回到扫码跳转信息提交的页面进行渗透。遗憾的是,黑灰经在挖洞的过程中,对方关闭了服务器。并非是因为对方发现有人在攻击他们的服务器才关闭,估计是黑灰经发起渗透的时间刚好是官方公告暂停报名的时间,也就是11月25号。
在这里也提醒大家,凡是涉及到购物、报名等线上一些活动,建议到官网上操作比较好。避免信息被获取、电子设备中毒。