对某黑产大佬的一次扒皮

2019年05月07日 01:12:20 作者:yuzhichao 阅读数:26791
网络安全渗透测试北京实地培训:报名加微信:bihuoedu,手机:15320003515。推荐学员入学奖励现金1000元

前言

编辑器有点问题,我截图有点大,上传以后图片缩小了,所以大家看起来可能会有点模糊,如果看不清楚图片的话,在图片上点右键,然后在新窗口打开图片就能看到清晰的图片了。

搞安全这一行的,有多少人面对各种诱惑能不动声色的,又有多少人在法律边缘试探的。

很多人从白帽变成了黑帽,但是多数人还是坚守这份净土,他们就是“白帽黑客
这也是很多安全公司招聘的时候都会有一个要求“没有黑产经历的”,为什么这么说呢?

因为人一旦走上这条路,以后见库就想脱,见shell就想挂个暗链等等。

下面给大家分享一下这个事件吧

基本信息收集

3月份就拿到控制权了,至今3个多月了,之前只大概看了下,发现他桌面有xise,菜刀等等工具就知道这又是一位大黑阔了,然后就备注了下,后面没时间一直没继续深入,请看键盘记录日志最开始的日期就知道了.155548dszkzz296dpew8j9.jpg

通过远控翻文件夹,桌面发现一个比较有意思的txt文件,下载以后,里面有各种蜘蛛池服务器,扫shell服务器、还有一些不知道用来干啥的服务器,上面就挂了个新浪博客的群发工具。155744fh1uv5fffvhm45mm.jpg

然后监视屏幕发现他登录了QQ,但是看不到QQ号码,这里有办法可以看到QQ号码,那就是QQ的聊天记录文件夹,在你安装QQ以后,登录的QQ号码会在有个目录下以你的账号生成一个文件夹,用来存放你的聊天记录,文件等等数据。

目录大概如下,不过系统不一样可能路径也不一样。
以下是win7 x86的系统
C:\Documents and Settings\Administrator\My Documents\Tencent Files\

不过坑爹的是他这里登录的账号太多了,我们并不清楚他目前再用的是哪一个QQ号码。160214q1h2nzgno1y5gn1y.jpg

所以只能等他打开QQ的面板,然后看头像,记住头像的样子,然后用你的QQ挨个去查找他,如果查找出来的头像和他这个一致,说明这就是他现在用的QQ了。

看下大佬所在的QQ群,基本都是搞黑产的。155943kxod0vhhhxid77f3.jpg

怼蜘蛛池和服务器

因为在他桌面发现的那个txt文件,里面记录了很多服务器的ip、账号、密码等等敏感信息,对我们来说就很简单了,只要通过远控监视大黑阔没有登录服务器的时候,我们尝试登陆上去就行。161259r4984p9llg834a4z.jpg161307au4b00ucpii607up.jpg160730g9b2bjsycqftk9xf.jpg

其中有台服务器还挂了个登录状态的百度云盘

然后发现里面有这些东西。160717g1io0mf0c18nenoc.jpg

机智的表哥们肯定会说 “我屮”,赶紧把他里面的文件全部选中,然后分享,然后保存到自己的云盘里面,再然后取消分享记录,一气呵成.....
咳咳,作为老实人的我们,怎么做不太好吧?
然而你猜我真的这么做了吗?哈哈(滑稽脸)......

收集大佬个人信息

前面得到的QQ号查了下,发现是个小号,没啥信息。
然后开始怼路由器,如果家用路由器的话,里面可能会有拨号上网的账号密码。
这里怼路由器的思路和我以往的文章一样,通过ew反弹代理出来,然后在你本地就可以访问他的内网了。
详细用法见我之前的这篇文章,这里就不再敖述了。

不过大佬就是大佬,人家用的4G无线上网卡(这东西都快成搞黑产的标配了),用的有可能是那种不用实名的流量卡,很难查到。

160042ow8gs8xsxx8s5xsx.jpg在他的华为上网设备里面,发现短信通知里面有这个上网卡对应的手机号码。160051lcanqxaq44l77zq7.jpg

大佬的套路

大佬都是晚上开始干活,他用扫shell的服务器扫到可用的webshell以后,在他这台电脑上挂上vpn,然后开始给这些网站挂暗链,(具体功能我也不清楚,因为我不是做黑帽SEO的)

然后这些网站的百度收录里面title就会变成 开发票找xxx之类的,找小jie上某某网站等等。

最后,希望这位大佬没混爱必火安全网,如果看到这文章的话,不要给我送快递,我上有老下有小的写个文章骗个稿费也不容易......