1、意外發現
前陣子有朋友在追美劇《權7》,所以偶爾會拖我找資源:"你有權7的資源沒有?" "幫忙找下熟肉?" 雖然我一直吐槽"自己不會去開個會員或者百度/谷歌找?" 不過又想瞭想,對於非技術圈的朋友,很多人總是這樣來思考:網上資源再豐富,百度谷歌再牛,也沒有比自己身邊"修電腦"的朋友強吧。
好吧,看在一頓小龍蝦的面子上,我就根據資源的名稱,各種關鍵字搜刮一遍,然後給他發瞭"熟肉"(高清無碼有字幕),順便把網址和鏈接都發給他,說明後面有更新的話可以自己尋找。過瞭一周,這位朋友又不好意思的說,"那個網站的資源好像停更瞭?要不再幫忙找找?"。
又為瞭兩頓小龍蝦的情面,我又重復之前的動作,不過這次,收獲的不僅僅是小龍蝦,而是意外的發現。之前搜索的時候,瀏覽器掛瞭adblock之類的插件,所以比較少看到到網頁廣告,那天剛好做瞭次升級,所以用瞭備用瀏覽器。
用同樣的關鍵詞,到各種資源站逛瞭一圈,由於在搜索資源的時候有些網站出的不是熟肉版,遂關閉網站再到其他資源站,這樣便來來回回跳瞭好幾個資源網站。然後就一直被下面這些彈框頁面時不時辣眼睛...基本是這種格式的(防河蟹,已打碼...):
明明訪問的這些網站的域名都不同,但是彈框的內容卻幾乎都一樣的,這種情況基本兩種可能:
第一、這些電影資源網站被掛馬掛鏈瞭,被動彈框的;
第二、這些電影資源網站存在的意義就是主動為其他"主播"、"直播"、"泛色情"、"色情"網站做導流的。
憑借*****的經驗,隱約感覺不太對路,決定看看情況。
2、初探究竟
①網站內容
為瞭一探究竟,便依次點擊不同網站上面這些彈框圖片,之後便跳轉到對應的網站,此時發現這事兒越發有點蹊蹺,這些網站除瞭域名,整個佈局幾乎是一樣,而且,已經不是"泛色情"之類的美圖網站瞭,就是色情網站!(打碼打到手痛...)
②誘導支付
大概分析瞭網址結構和內容佈局,基本遵循一個規矩:圖片免費觀看,視頻隻能試看,觀看全部需要付費購買。例如,這裡點擊任意一個視頻,然後到瞭這樣的頁面介紹=>
點擊立即播放看看?
一直處於加載中,不太對路啊,我這獨享100M速度,而且也沒做頁面攔截,估計這個視頻壞瞭;再換一個看看?
再次點擊立即播放看看?
還是一直處於[數據加載中],在沒有看到任何預覽的情況下,這個時候網站又開始彈出支付頁面 (看來是想告訴大傢:趕緊花個十幾二十塊,就可以不用再等馬上看瞭,支付引導語也說明瞭"盡享奇妙之旅!")=>
後面基本都是摳腳大叔在運營的=>
喲,現在的色情網站,用戶體驗做的這麼好?還搭上瞭移動支付的列車,都能微信和支付寶支付瞭。從產品的角度上看,這個誘導支付做的還可以,無論是點擊視頻彈框,還是點擊網站右上角[開通VIP]這個按鈕,每次都能彈出不同的誘惑圖片,並且價格非常"親民",大體都是十幾二十塊這樣子。
不過經過多個頁面的分析,我猜測這些網站:可能僅僅是一個殼,裡面根本沒有視頻服務之類的,最終目的就是誘導用戶采用微信或支付寶小額支付,然後消費者吃啞巴虧。(說白瞭,就是基於色情誘導的小額度金融詐騙)
好吧,隻是猜測,具體是不是這樣子,還需要後面一步一步驗證。
(下面的內容相對比較技術,大傢如果沒興趣,可以拖到文末看這次調查結論)
3、信息收集
直覺告訴我,這些網站應該用的是同一類CMS(內容管理系統),更直接一點,就是"色情CMS",而且背後可能是某些做色情灰產的團隊在運營。既然都是套的CMS做的網站,那麼就有同樣的banner、網站標識、開發者信息之類,即"網站指紋"。
①查看網站源代碼,找出"網站指紋",類似這樣=>
觀察這幾個網站,每個網站在前端代碼裡面的head和footer標簽裡,都有對應的指紋信息。
②通過Google或Bing,根據網站指紋和關鍵詞語法(例如intext或intitle)進行搜索 =>(註意:搜索這類網站,建議關閉安全搜索功能,否則搜到的內容很少)
根據幾個搜索引擎得到的情況,這麼多相同的網站和頁面,應該是做這個行業的團隊,都購買瞭相同的或者類似的CMS,然後自行搭建推廣,通過搜索引擎SEO或者各種資源網站掛馬推廣等,並誘導通過微信或支付寶付費。
看來這已經不僅僅是幾個色情網站這麼簡單的事情瞭,應該涉及到色情誘導詐騙這個產業的規模化運作。
③接下來,我們還需要進一步的做信息收集,例如這些網站的服務器架設在哪個地區?到底在國內還是在國外運營的? 聯系信息是什麼?看看是否有關聯性,是分散運營還是某個大團隊在運營? 我們對這些色情網站服務器進行信息探測,這裡借助shodan(撒旦,傳說中的"黑暗搜索引擎")來進行分析:
網站1:http://xxxxnii.com/
開放端口:21、80
服務器地區:山東青島
托管服務商:上海安XX網絡
Whois域名信息:
備案信息:未備案
whois信息:開啟瞭安全防護,隻能看到域名服務商的信息,沒有網站運營者個人信息
網站2:http://www.91xxxx.cn/
IP地址:103.229.X.X
開放端口:80
服務器地區:香港
托管服務商:Sun network LTD,新網絡(香港)有限公司
備案信息:未備案
域名註冊人:王xx
註冊人聯系信息:[email protected]
域名服務商:北京藍xxx科技有限公司
網站3:http://www.ccxxxx.com/
IP地址:107.154.X.X
開放端口:80、81、88、443……
服務器地區:海外(美國)
托管服務商:Incapsula
Whois域名信息:
備案信息:未備案
域名服務商:godaddy(開啟瞭域名保護,沒有註冊信息)
網站4:http://weixxx.com
IP地址:107.151.X.X
開放端口:80、21、88、443……
服務器地區:海外(美國)
托管服務商:VpsQuan
Whois域名信息:開啟瞭域名保護,無註冊人信息
網站5:http://txxxx.com/
IP地址:103.234.X.X
開放端口:80、21、443、12345……
服務器地區:香港
Whois域名信息:開啟瞭域名保護,無註冊人信息
網站6:http://mlxxx.com/
IP地址:23.23.X.X
開放端口:80、21、5985
服務器地區:海外(美國)
備案信息:未備案
註冊人地區:福建
域名服務商:godaddy
域名註冊人: LIxx
註冊人聯系信息:[email protected]
……
經過20多個網站的分析,發現無論是服務器地區、服務器托管商、域名註冊商、註冊人信息等等,都非常分散。但是仍然可以得到一些信息:
a. 這些網站80%托管在香港和海外(美國);
b. 清一色沒有做正規備案;
c. 大部分都沒有留下註冊人信息,部分會留下QQ郵箱。
小結:經過上面四個步驟的信息收集,我們可以得到這個基本的情況:這些色情網站是由很多小團隊分散運營,通過購買類似的"色情CMS"進行搭建並運營;另外,為瞭避開國內的監管,大部分選擇將服務器托管到香港和美國為主的服務商,並且很少留下註冊的聯系信息。(後續可以通過微信和支付寶、網站數據庫等可以做進一步追蹤)
4、漏洞挖掘
如果按照正常的灰產打擊流程,最直接的方法就是采用"釣魚執法",例如直接微信或者支付寶支付,然後看看能否加到好友,繼而直接揪出幕後運營者(如果對方用的小號,並且騰訊和阿裡不介入,此方法估計走不通)。
所以,在這之前,我們先看看能否在技術上進行突破。例如,能否通過拿到後臺數據庫,找到後臺管理頁面,直接接管網站,或者通過數據庫找到更加詳細的管理員賬號信息等等,甚至通過服務器提權拿到整個服務器權限;而實現這些的前提是:能否找到這套"色情CMS"的漏洞?
考慮到這類Web軟件偏"地下流傳",不像知名的discuz論壇,有很多公開漏洞和滲透工具可以直接利用。所以,先用Web漏掃看看有沒有能否找到常規漏洞。先對托管在國外的幾個色情網站動手,發現都是PHP+MySQL架構,很多在Windows+IIS上面跑,而且幸運的是,大體都能爆出SQL註入和XSS跨站腳本漏洞,當然,這些漏洞能不能用,還得進一步驗證。
(註明:上面提到的漏掃,Burp/AWVS/Appscan隨意,更具體的使用這裡省去)
5、SQL註入滲透
接下來,先手工找幾個註入點看看,點擊網站的分類列表,可以得到類似"php?id=x"的鏈接=>
這裡收集瞭不同網站的一批註入點,然後我們拿神器SQLmap出來溜一圈。不同網站防護情況不同(例如安裝瞭waf),註入的效果是不同的,不能一條指令走到黑,需要調整註入的參數,例如是否加長時間延遲、是否采用隨機頭部、是否加大註入級別。按照這個思路,大概需要用到這些指令:
① SQL註入得到數據庫和管理員信息
root@kali:~# sqlmap.py -u http://txxxcom/list.php?id=1 --dbs --users
root@kali:~# sqlmap.py -u http://txxxcom/list.php?id=1 --dbs --users --dbms mysql
root@kali:~# sqlmap.py -u http://txxxcom/list.php?id=1 --dbs --users --time-sec 2 --dbms mysql --level=2 --risk=2 --random-agent
②根據註入得到的數據庫,獲取數據庫裡面的數據表
sqlmap.py -u http://txxxcom/list.php?id=1 --tables -D "aaaaaa"
sqlmap.py -u http://txxxcom/list.php?id=1 --tables -D "aaaaaa" --random-agent
③獲取管理員數據表或者暴力脫褲
sqlmap.py -u http://txxxcom/list.php?id=1 --dump -T "xxadminxx" -D "aaaaaa"
sqlmap.py -u http://txxxcom/list.php?id=1 --dbms mysql --dump-all -D "aaaaaa"
(註入失敗)
(註入成功,正在下載數據庫和獲取管理員賬號密碼)
(註入成功,進行管理員密碼破解,這裡哈希值沒跑出來,需要借助在線MD5工具破解)
成功的並且dump數據庫下來的部分網站截圖:
6、密碼爆破與後臺登錄管理
①通過以上SQL註入,拿到瞭這些網站的管理員用戶名及密碼哈希值(MD5值),需要對MD5做暴力破解,破解成功率還不確定,如果哈希值是"加鹽"的,那麼成功率將大大減低,所以也隻能碰碰運氣吧。
這裡直接找幾個在線的md5網站,跑一圈看看:
上面這個是6位數字的,直接秒破。再試試下面一個=>
這個沒法破解出來,估計密碼長度比較長,再繼續嘗試其他的=>
8位數字密碼的,同樣秒破。另外,不同在線MD5網站的哈希存儲量和計算速度不同,有些後臺還包括瞭泄露瞭的社工庫信息,所以可以多個網站嘗試。
②拿到大部分網站對應的管理員賬號密碼之後,接下來就可以進入後臺管理一探究竟,但是怎麼進入呢?網站前端頁面可沒有"管理" "後臺"等字樣給我們點擊進入。
這些網站有些默認用 http://xxx.com/admin的管理就可以進入後臺,有些修改瞭後臺地址,需要用後臺掃描器(havij、禦劍、burp)進行探測。
直接采用admin作為後臺管理頁面的:
後臺路徑做瞭一些變動的:
雖然網站域名不同,甚至運營者都不同,但是後臺管理頁面是一模一樣的,這裡將上面拿到的賬號密碼登錄進來=>
③接下來便進入瞭後臺,然後就有點震驚瞭:這已經明目張膽寫明是"誘導支付,誘惑支付"!也就是說,有專業的團隊專門制作這類色情誘導網站,這僅僅是我無意發現的一個"色情CMS",肯定還有很多很多......
我們來看看這個"誘導支付"系統到底是怎麼操作的?
a. 管理賬號
b. 資源添加:網站上的視頻和圖片就是在這裡添加的
b. 資源添加:大部分的圖片和視頻鏈接都是外鏈,除瞭圖片是有效的,有些視頻根本是空的,有些則是無效鏈接的(假的)
b. 資源添加:圖庫列表這裡的圖片全部采用外鏈,而不是本地存儲
c. 分類設置:可以對網站首頁的圖片分類做簡單的修改
d. 支付設置:這裡才是重點!把二維碼改成自己的,就可以坐等傻瓜打錢過來啊!(比挖比特幣強太多..)
小結:通過對後臺系統的分析,基本坐實瞭我最開始的猜測:這些所謂的色情網站,本身就是一個"殼",所有的圖片都是外鏈,而幾乎絕大部分的視頻也是假的,即便有人真的通過微信或者支付寶支付瞭,跳轉之後看到的,也永遠隻能是一個"資源加載中"的黑屏頁面。(這真的就是"錢也付瞭,褲子也脫瞭,你就給我看這個?!"......)
總之,這類"誘惑支付"系統,披著色情的皮,搭上移動支付的車,欺騙廣大"消費者"。而由於服務的"特殊性",大部分服務器又架設在國外,交易金融又是小額,此類用戶基本都是吃啞巴虧的,頂多就是丟下一句"艸",然後學乖瞭一點點。
tips:寫文章的時候,突然好奇搜索瞭一下,然後就看到有人在一些問答頁面上的提問=>
要不要去告訴他真相呢?
接下來,拿到網站後臺管理權限之後,之後還可以做什麼呢?還可以考慮提權,拿下整臺服務器,不過已經不是本文重點要談論的瞭,這裡給出大概的思路:可以爆出物理路徑,考慮一句話圖片木馬(需要考慮命名過濾),然後嘗試用菜刀或其他webshell工具管理=>
7、文末
①根據上面的內容,我們可以把整個色情誘導的鏈條大概用下面的圖片展現出來=>
②接下來要不要揪出這些色情誘導欺詐者呢?(記住,這個就是色情詐騙,可不是"1024"或"caoliu")這個已經不是我力所能及的瞭,數量多到無法估量,到底揪出誰呢?
而且搞掉一個站肯定還有類似的一個站起來,這裡需要雲服務商(提供服務器托管的)、移動支付平臺(微信支付、支付寶支付)、網警、社會各界一同介入處理的。
③一直有句話是說:"互聯網一半以上流量和資金屬於色情和'菠菜'的",之前我還不太相信,現在有點信瞭。大量"地下的沒有上臺面的"網站非常多,而這些網站有多麼的"黑"或者"陰暗",超過我們的想象,也越過瞭我們的底線。
④這個色情誘導的欺詐案例,僅僅屬於"灰產"的一種;隨著雲服務的高速發展,移動社交和支付的極度便利性,這類"灰產"服務已經慢慢滲透到我們的生活,你有沒有遇到類似的或者其他案例?你是怎麼解決的?
(另外,如果你心疼基友,轉給他看,不要再讓他受傷害瞭...)