菜鳥攻入Apple ID釣魚網站實錄，坑你沒商量！

下午，朋友發了一條朋友圈，內容大概這樣：

大體就是她的iPhone丟了，收到了釣魚短信，多麼熟悉的套路，如下：

還好她比較機智，發現是個釣魚網站，地址如下：

http://www.*****com.cn

當時看到這件事後，想到之前有巨巨順勢搞定釣魚網站，所以我也想小試牛刀一下，看看能否攻入釣魚網站後臺。

在試了幾輪PHP常見後臺地址後，比如/admin,/index.php/admin，均未奏效，索性開始對網站抓包，抓包過程中有了意外收穫，得到了另一個實際的核心站點信息。

原來在apple-icloudid.com.cn下的一切請求實際都是由http://www.ht888.pw這個站點來處理的，包括管理後臺。

這個站點設計的極為簡陋，所以三下五除二就順利找到了管理後臺地址：http://www.ht888.pw/admin/

然而竟然同時發現了另外一個管理後臺：http://www.ht888.pw/new/admin/

頁面上寫著“低調做人，高調做事”，這是個什麼鬼！！！

下面對這兩個站點抓包的過程中，十分幸運的是，發現了一個SQL注入漏洞：

簡單的API調用居然把執行的SQL語句返回了！！！這麼嚴重的漏洞，我不利用誰利用。

不過讓我驚訝的是，管理後臺的登錄框有對SQL注入做了處理，所以我只能從這個API調用來進行SQL注入。

對了，我是SQL注入小白，通過網上現找和朋友給的一點MySQL資料，使用Postman實現了簡單的攻擊。

第一波先獲取數據庫表信息

得到10張表名，分別是ap_admin， ap_members， ap_sites， ap_userlog， yu_admin， yu_guest， yu_members， yu_mibao， yu_sites， yu_userlog。

其中yu_mibao這張表裡存儲著受害人的iCloud賬號信息，ap_admin和yu_admin兩張表裡存了管理員賬號。

第二波獲取管理員表結構

其中ap_admin和yu_admin表字段一致，分別為userid， gid， username， password， email， logintime， loginip， logincount。兩張表裡各有一條管理員賬號記錄

ap_members和yu_members表字段一致，分別為uid， email， password， regip， address， site。

其他表還沒有查看，方法類似。

第三波獲取表數據

這裡我們從ap_admin表獲得一個管理員賬號，賬戶名為apple，密碼為加密後內容0659c7992e268962384eb17，暫時未能破解。

從yu_admin表中獲得另一個管理員賬號，賬戶名為apple,密碼同樣為加密內容5a50131eb6f2d7b652ae459b4，同樣暫時未破解。

到了這裡基本就可只差密碼的破解的，後續的步驟是試著刪除掉該釣魚站點所有受害人信息。

寫在最後

公佈下目前找到的有關釣魚網站的信息

以及通過API漏洞獲得的QQ郵箱一個：[email protected]

以上就是本次整個攻擊過程，當然因為我是菜鳥，所以很多要點處理的應該都不太好。釣魚網站這個套路屢見不鮮，對方往往打一槍換一個地方，禍害了不知多少普通用戶。手機丟了還好，可怕的是iCloud裡的隱私數據，往往會帶來難以想象的傷害。