某群遇某产继而入侵某BC内网的奇妙故事

wangqiang

​ 某群遇某产继而入侵某BC内网的奇妙故事
李白你好 2022-11-22 08:00 发表于青海
转载自：某群遇某产继而入侵某BC内网的奇妙故事

免责声明
由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号李白你好及作者不为此承担任何责任，
一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

01前言

近日无事闲逛，偶遇某群有人在招程序员帮忙写Exp和收shell啊收0day啊，又觉近日无文章可写，所以便尝试社会一波大佬。

首先呢先问问套路一下，看看他干啥的.

​

这个人想找人帮忙写批量的Exp

​

然后假装自己能写，先套路一波，进入角色，让对方以为我真的可以写。

​

这里呢，我说我自己搭建了一个站点，用于测试，然后叫他链接shell试试看看。是否OK！

​

接着该目标并未上线，他将我搭建的站点发送给了他们手下的其他两个人。

​

02技术一号
（被我社工的这个黑产人员，实际不懂技术，他将我的钓鱼页面发给了他们手下2个技术人员，其中一个上线的估计是个虚拟机，另外一个上线的则是物理机。所以这里只钓鱼到了一台）
这里一共上线了2台PC电脑，他们拥有统一的外网IP出口，柬埔寨显示地点，目前不知道真假。这个人就是我们所谓的脚本小子黑客。给各位看看他的PC都有那些资料。

​

脚本木马

​

各类实名证件。

​

各种批量黑客工具。

​

黑帽SEO关键词

​

入侵用的各类VPS机器

​

各类网站的账户

​

03内网拓展渗透
每一个进程都有一个环境块，其中包含一组环境变量及其值。有两种类型的环境变量，用户环境变量和系统环境变量。

arp -a 看了一下。发现了如下机器。10多台。
192.168.1.1           78-44-fd-fd-55-b9     动态        
  192.168.1.13          6c-8d-c1-18-aa-b2     动态        
  192.168.1.24          dc-2b-2a-c2-22-15     动态        
  192.168.1.42          8c-8e-f2-4f-26-8f     动态        
  192.168.1.54          b0-fc-36-29-f7-ab     动态        
  192.168.1.62          b4-d5-bd-b2-29-e2     动态        
  192.168.1.81          38-53-9c-ee-31-7e     动态        
  192.168.1.83          38-71-de-13-4f-d8     动态        
  192.168.1.92          cc-29-f5-bc-b8-c1     动态        
  192.168.1.119         cc-44-63-18-08-4c     动态        
  192.168.1.137         6c-72-e7-5e-f9-7e     动态        
  192.168.1.143         a4-d9-31-89-3d-c4     动态        
  192.168.1.149         48-3b-38-45-4d-22     动态        
  192.168.1.171         cc-29-f5-78-70-87     动态        
  192.168.1.178         00-b3-62-7d-11-f6     动态        
  192.168.1.206         b0-fc-36-30-79-7b     动态        
  192.168.1.233         e4-f8-9c-9f-61-fe     动态        
  192.168.1.243         dc-41-5f-05-fe-ef     动态        
  192.168.1.255         ff-ff-ff-ff-ff-ff     静态        
  224.0.0.22            01-00-5e-00-00-16     静态        
  224.0.0.252           01-00-5e-00-00-fc     静态        
  224.210.34.44         01-00-5e-52-22-2c     静态        
  239.11.20.1           01-00-5e-0b-14-01     静态        
  239.255.255.250       01-00-5e-7f-ff-fa     静态        
  255.255.255.255       ff-ff-ff-ff-ff-ff     静态


读取当前计算的WIFI账户密码看看
netsh wlan show profiles
      所有用户配置文件 : 2317RL-5G
    所有用户配置文件 : 2317-ATA-5G
    所有用户配置文件 : HUAWEI-D91C
    所有用户配置文件 : TP-LINK_6A68
    所有用户配置文件 : Airtel-E5573-8318
    所有用户配置文件 : TP-LINK_88T8
    所有用户配置文件 : TB-LINK-96A9


netsh wlan show profile name="输入上图配置文件名称"

​

继续信息收集。
这是一个上an网的黑客。

​

04Or继续
在经过长达三天的监控后，发现该名黑客的盈利方式。这个人打开了一个博彩的代理管理平台，如下：

​

对他的账户经过分析，发现其是一个代理账户。然后下载其APP进行分析。发现上面都是一些：时时彩，以及一些赌博游戏，就跟赛马那种一样。
只不过他这个是赛车。后台会生成大量的机器人，来制造很多人在跟你玩。

​

光机器人就达到了240多个。
在线的真实用户不到10个。

​

​

该名黑客每天的工作如下：
通过0day漏洞，例如最新的Ueditor的上传漏洞，IIS7.5的解析漏洞，DedeCMS的利用漏洞，等等各类批量化的漏洞，
其中使用的比较多的工具就是某批量化工具

​

​

​

然后上传他的BC页面，使用户下载APP，然后进入他所代理的房间。这样的话用户在该房间充值的钱都会算在这个代理的头上，从而实现盈利。
截至目前发稿，该名黑客仍在进行IIS7.5的解析漏洞。

​

导入了 300多w的网址在进行对Ueditor的上传漏洞进行批量化。

文章来源：黑无常
原文地址：https://www.hackdoor.org/d/216-bc
如需转载本样式风格、字体版权，请保留出处：李白你好
​