之前删掉了
一九年に最後の侵入を削除しました、クソったれ頭がからっぽになった😅
事件の原因#
数年前に遊んだり、いろいろなブラックグレイ産業に関わったりしていたので、孤注一掷を読んだ後、非常に憤慨しました。
三回読み終わった後、私はすべてのメールボックスを探しましたが、何の役にも立ちませんでした。
ある日、私の受信トレイに、そうです、受信トレイに迷惑メールが配信されました。
信じられないことに、ゴミ箱に飛ばされずに残っていました。
やっと来た、興奮する心、震える手
メールの入り口#
送信ドメインは解析されておらず、送信メールボックスへのアクセスは IIS です、fofa に投げる
おそらく迷惑メールを送信するための専用サーバーであり、調べるものはありません
QR コードの解析#
まずはデコード
おそらくこれがウェブサイトです、すぐに正確な侵入を行います🤣
これはウェイユンの共有ファイルを利用した活性化コードで、再びウェブサイトのアドレスを取得しました
短縮 URL は 2 つのレベルでリダイレクトされ、明らかに正規のウェブサイトへのリダイレクトを使用して URL のセキュリティチェックを回避しています
このリダイレクトの方法は良い方法です、兄弟たち、私はまず菠菜にコードを作ることに決めました、また会いましょう🤪
URL 内の base64 デコードにより、2 番目のレベルのリダイレクト URL が得られます。2 番目のレベルは百度のサービスであり、どの部分かはまだわかりません
物語の主人公がわかりました
ウェブサイトの周辺#
直接アクセスすると、百度のエラーページにリダイレクトされます。おそらく UA フィルタリングされています
心配しないで、私はUser-Agent Switcher and Managerを持っています
入りました、それではまずウェブサイトの構造を見てみましょう
擬似静的で、/h8 のパス名はすべて cms に戻ります
検索ボックスも使用できません、h8 から抜け出すとエラーが発生します
調べたところ、若依のシステムですが、ウェブサイトにはジャンプボードまたはホワイトリストがあり、/login に戻ると百度のエラーページにリダイレクトされます
バックエンドに対しては何もできませんので、fofa に投げて cname と ip を見つけました
一堆のステーションクラスターですが、これ以上調べても意味がありません。ソースサイトを少しスクレイピングしても面白くないことがわかりました。次回はポートスキャンを使用します
この cname はかなり統一されています、whois で調べてみましょう
ウェブサイトの内部#
ソースコードを見てみましょう
フロントエンドと組み合わせても何の cms かわかりません、また base64 の層がありますので、まずは解読してみましょう
わかりました、新しいドメイン
どの cms かわかりませんが、ウェブサイトのレイヤーで何かを動かすことはできないようです
支払い側#
ビデオを見るにはお金がかかります
少し見覚えがあります、ソースペイメントで、入れません
残りは Alipay のようで、独自のもので、Google のキャプチャも付いています
なぜ今、H サイトを開く人々はこんなに技術があるのか、まとめ#
菜食主義者、自分でも見ることができないほど何をしているのかわからない程度のレベルです
もともともう少し掘り下げてみたかったが、今は直接脳がダウンしてしまった、幸いにもドメインなどはすべて国内にあるので、関連情報を整理してサイバーセキュリティの友人に送りました😶