由小小姐炫耀引起的一次钓鱼网站入侵并溯源(3)

同时后台还告诉我C盘有个 HTTP 日志记录，我迅速下下来,有一次发现了重庆的 IP 地址访问了 /install 页面。

还看到了他用的浏览器是 Windows8.1 用的是 Chrome 浏览器，这个尽管与我之前页面钓到的 UA 不一样，，但由于都是 win8.1 这样较为少见的系统，故判定为同一个人

另一方面我还发现了另一个广东的 IP: 117.136.39.239(基站IP)疑似同伙，他使用 2345 浏览器和 windows7 系统，第一次访问这个系统就直接访问 /dede，并且经常在后台发送 POST 包。

除了这些信息之外我就获取不了别的信息了。

5. 使用了 0day 的不完全溯源

后来某一天课上完的时候，我问了老师业界大牛Dr，大牛告诉我可以挖下讯边缘业务的 JSONP 漏洞来泄漏攻击者的 QQ。

在尝试了好几个小时之后，我只挖到了讯的某个能够泄漏用户名的 JSONP 和度能够泄漏部分用户名的 JSONP 漏洞，我很快将这个漏洞写成利用脚本，在调试后部署上去得到广东同伙的 QQ 名字“龙腾九天”和“怪兽”

0x06 格盘跑路

由于我实在没有更多时间和他们耗，再耗下去我就要挂科了，决定直接破坏造成精神打击!

关你的服务!

格你的D 盘!

改你的桌面!

(美中不足的是微博二字打错了)

(附注：脏话仅用于玩梗，并不代表作者本人平时的素质，我的朋友们都可以作证)

没有截图的是我清理日志的部分，这一部分我是做了的只是没有截图，希望各位在做相同事情的时候注意个人保护

7. 总结

一些需要注意的渗透细节：

• 在渗透的时候如果能修改 php.ini 就可以突破 PHP 禁止执行高危函数造成的命令不可执行。搞 IPS 的时候可以禁止 PHP 修改敏感文件来进行初步防护
• 扫目录挺有用的
• 不管是哪种取证，系统日志都是很重要的突破口。同时防取证得删掉日志
• Windows Server 密码复杂度有要求，渗透时账户创建失败可能是密码不够复杂

不足之处：

1、文中内容是精简过的。整个战线托的太长。要积累经验

2、留后门留得太明显，应该留到网站原有的文件里去，最好是分布在多个文件来免杀

3、得积累 JSONP 漏洞，不要像我这样现挖。我都在考虑写一个扫描 JSONP 漏洞的插件了

4、得积累一些针对国内软件(如宝塔)的信息搜集工

【编辑推荐】

1. 发起一次网络攻击要花多少钱？
2. 网络攻击暴涨，黑客们有了新目标
3. 你是否能抵御这些常见类型的网络攻击？
4. 鱼叉式网络钓鱼对组织的影响以及如何应对这种日益严重的威胁
5. 防止鱼叉式网络钓鱼攻击的8个窍门

（编辑：ASP站长网）