下午,朋友發了一條朋友圈,內容大概這樣:
大體就是她的iPhone丟了,收到了釣魚短信,多麼熟悉的套路,如下:
還好她比較機智,發現是個釣魚網站,地址如下:
http://www.*****com.cn
當時看到這件事後,想到之前有巨巨順勢搞定釣魚網站,所以我也想小試牛刀一下,看看能否攻入釣魚網站後臺。
在試了幾輪PHP常見後臺地址後,比如/admin,/index.php/admin,均未奏效,索性開始對網站抓包,抓包過程中有了意外收穫,得到了另一個實際的核心站點信息。
原來在apple-icloudid.com.cn下的一切請求實際都是由http://www.ht888.pw這個站點來處理的,包括管理後臺。
這個站點設計的極為簡陋,所以三下五除二就順利找到了管理後臺地址:http://www.ht888.pw/admin/
然而竟然同時發現了另外一個管理後臺:http://www.ht888.pw/new/admin/
頁面上寫著“低調做人,高調做事”,這是個什麼鬼!!!
下面對這兩個站點抓包的過程中,十分幸運的是,發現了一個SQL注入漏洞:
簡單的API調用居然把執行的SQL語句返回了!!!這麼嚴重的漏洞,我不利用誰利用。
不過讓我驚訝的是,管理後臺的登錄框有對SQL注入做了處理,所以我只能從這個API調用來進行SQL注入。
對了,我是SQL注入小白,通過網上現找和朋友給的一點MySQL資料,使用Postman實現了簡單的攻擊。
第一波先獲取數據庫表信息
得到10張表名,分別是ap_admin, ap_members, ap_sites, ap_userlog, yu_admin, yu_guest, yu_members, yu_mibao, yu_sites, yu_userlog。
其中yu_mibao這張表裡存儲著受害人的iCloud賬號信息,ap_admin和yu_admin兩張表裡存了管理員賬號。
第二波獲取管理員表結構
其中ap_admin和yu_admin表字段一致,分別為userid, gid, username, password, email, logintime, loginip, logincount。兩張表裡各有一條管理員賬號記錄
ap_members和yu_members表字段一致,分別為uid, email, password, regip, address, site。
其他表還沒有查看,方法類似。
第三波獲取表數據
這裡我們從ap_admin表獲得一個管理員賬號,賬戶名為apple,密碼為加密後內容0659c7992e268962384eb17,暫時未能破解。
從yu_admin表中獲得另一個管理員賬號,賬戶名為apple,密碼同樣為加密內容5a50131eb6f2d7b652ae459b4,同樣暫時未破解。
到了這裡基本就可只差密碼的破解的,後續的步驟是試著刪除掉該釣魚站點所有受害人信息。
寫在最後
公佈下目前找到的有關釣魚網站的信息
以及通過API漏洞獲得的QQ郵箱一個:[email protected]
以上就是本次整個攻擊過程,當然因為我是菜鳥,所以很多要點處理的應該都不太好。釣魚網站這個套路屢見不鮮,對方往往打一槍換一個地方,禍害了不知多少普通用戶。手機丟了還好,可怕的是iCloud裡的隱私數據,往往會帶來難以想象的傷害。