记一次拿下网络诈骗者站点的全过程与套路分析 （下）

Delina

​原文链接：记一次拿下网络诈骗者站点的全过程与套路分析
0x004 Get system如上面所讲，目前获取到的只是普通账户的shell，虽然有一定的终端操作权限，但还是远远不够的，会有诸多限制，比如无法操作一些服务、增删系统账户、访问系统目录等等，那么接下来的操作就是 shell 提权了，或者叫 getsystem，这也是 meterpreter 中的一条命令，功能和描述一样，会尝试多种漏洞进行权限提升以获取SYSTEM 权限，只不过试了下似乎都没有成功，只能另寻他法：

​

这里值得说的是，可能有小伙伴会有疑惑，认知中 Windows 系统中权限最高的不应该是超级管理员Administrator 吗，为什么一直在强调获取SYSTEM 账户权限，其实严格来讲，Administrator 账户虽然成为管理员，其实权限并不是最高的，也有很多它做不了的事，举个简单的例子就是删除系统账户Guest：
​
以及其他一些系统层面的事，administrator 也做不到，而这些高层次的操作都由SYSTEM 账户来完成，虽然在账户设置里面从没见过它，但它是确确实实存在的：

​

就像网站服务其实也有个对应的 www 账户一样，应该没人曾经登录过它吧；
前面讲获取 system 权限使用getsystem 不奏效，那么就继续试探一下其他路子，也就是令牌窃取，令牌指的登录令牌，类似登录网站要用的cookies 或者token，而 Windows 中存在两种令牌：DelegationTokens（授权令牌） 和ImpersonationTokens（模拟令牌），前者用于交互式的登录，如直接或使用远程桌面，输入账号密码登录进系统，而后者用于非交互式的会话中，访问网络驱动或其他域登录脚本程序；
这里要利用的正是模拟令牌，窃取的过程有些类似网站里的 cookies 窃取，由于令牌在重启系统之前，会一直被保留，所以有账户登陆过的话，其令牌有机会被冒充使用，而且有授权令牌登录的账户注销的话，令牌也会转化为模拟令牌，同时其原本的相关权力都会保留；
这里接下来就先使用incognito（伪装、隐瞒的意思，偷盗者总是会先隐藏起来嘛）插件，进行令牌盗取，再用list_token 命令查询当前能获取的令牌情况（数量因当前的 shell 权限而定）：
​
这里可以看到可盗取令牌的账户，要窃取的话就使用impersonate_token 命令：

​

虽然可以窃取成功，但试了下这个账户的权限也不高，尝试性的试了下 system 账户也失败：

​

所以只能再尝试其他提权漏洞了，这里就先用bg 命令把当前 meterpreter 会话切换至后台，回到 msf 界面，使用一个已知的RottenPotato 提权漏洞：

​

需要的唯一参数是会话 id，正好可以利用刚才的 meterpreter 会话，然后还需要设置一个 payload，这里之前有了解过，目前机器可以访问公网，而且虽然有使用防火墙过滤端口，但是似乎一直开着这么一群端口：

​

这是远程 RPC 需要使用的一系列端口，所以盲猜机器会开放49150-49160 这么一个范围的端口，那么就见缝插针，选一个没被占用的用于开启监听，这样就能直接使用正向连接了，而不用麻烦的再次使用反向连接：

​

地址填目标机器的地址，这样运行后就能自动连接到目标机器的监听端口上，这里先运行一下试试能不能成功：

​

哟西！竟然比想象中的顺利，就不多解释了，检查一下权限和令牌先：

​

Nice，成过窃取到了 system 账户的令牌，以对方身份登录成过，接下来就可以试试权限了：

​

进入 shell 后账户确实变成了 SYSTEM，也能增加或删除账户了，那么至此，成过拿下系统最高权限，成功 getsystem；
​​
0x005 权限测试回想起前面有说过，高权限可以获取屏幕截图或者实式预览，那么这里来就看一下下：

​

成功截图到了指定文件，打开看看：

​

虽然分辨率有点低，但大致是个登录界面的模样，然后实时预览看看，由于这个要启动图形服务，就在虚拟机里跑一下：

​

大晚上的，应该没啥人登录，，不过光是预览还不够，现在是可以直接远程登录进去的，只是需要额外的一些操作，先建立一个账户并分配管理员权限（即加入Administrators 用户组），名字同样可以取得有一定迷惑性：

​

不过光是这样还仍没有远程登录的权限，需要将用户分配进远程桌面用户组才具有登录权限：
​
然后这里本来是要开启远程桌面服务的（TermService），结果查询发现是已经开启的，然后一路追踪到了服务对应的进程，进程对应的端口：
​
居然默认端口从 3386 改成了 10086，有意思，之前端口扫描默认常用端口，难怪没有扫出来，既然现在用户和密码都有了，登录进去看看：

​

​

​
唉，都舍不得掏钱整台配置好一点的，一点都不懂得投资 ㄟ( ▔, ▔ )ㄏ，没意思，擦擦屁股溜了溜了(～￣▽￣)～；
0x005 System Backdoor老规矩，任何阶段都需要留一手，并且现在 system 权限，因此只要留下后门那么再次连接就直接具有 system 权限，那么话不多说直接上传，文件名同样可以取得有一定迷惑性：
​
然后配置程序开机启动：

​

当然，要想再留一手就可以再创建个系统服务，只是生成的 payload 要用 service 类型的，不然会启动失败：

​

然后上传后在目标机器创建服务，配置开机自启，也可以再额外配置启动失败后自动重启服务，或者最近调用执行其他程序，最后再手动启动一次服务：

​

至此，大部分流程基本结束，拥有系统权限可以做更多的拓展渗透，这些都是后话；
​​
0x04 套路分析0x001 作案工具目前为止一共收集到两个后台，一个宝塔面板和一个捕鲸系统后台，宝塔之前是由于有登录校验，没有获取到登录入口，现在就轻松了，用宝塔自带命令btdefault 查看一下默认入口和账号信息：

​

额……者用户名难道是要暗示自己输得起？待会用这个账号和密码登进去看看，另外在查看目录时，又发现了有意思的部分：
​
这里还列出了不少站点，难道现在诈骗也搞分布式作案了 ( $ _ $ )，或者微诈骗？算了后面有机会再去一锅端了，先登录进去看看：

​

看了默认密码被换调了，虽然现在有权限能直接改掉密码，为了不打草惊蛇，就先放一放，反正进去也都是一些可视化服务器配置，毕竟现在服务器的系统权限都攥在手上呢，不必着急，主要先分析下另外一套系统，那才是骗子们的主要作案工具；
可以观察页面存在两列功能栏，分别罗列着骗子能远程执行的操作：

​

​

两列功能类似，只有个别区别，这里贴个图对比一下，感觉功能 2 应该是 1 的升级版，多加了几个功能，不过后面发现并不是这么简单，二者都能使用，这样是为了方便骗子连环套取用户信息：

​

0x002 诈骗流程​​
最前面的捕鲸邮件这些就不说了，就是邮箱盗号后广发邮件撒网罢了，现在主要来看下上面的一堆功能项，为了行骗过程操作方便，大部分功能应该都是字面意思，还记得最开始审查页面的时候，最后是停在了一个加载页上面，那么应该就是衔接这里的操作的，不同的功能项会触发不同的返回结果：

​

这里空讲可能没什么概念，功能汇总有十几二十 个，就挨个给大家实际演示一遍，从骗子的视角过一遍大致就能体会了，还是用之前的表单数据提交，然后这部触发不同的功能后回去看结果：
“未通过”
未通过就是上面的加载页面，是默认状态，也是处理不通过返回之前的中转页面；
“通过--杀它”
标记通过后会跳转提交验证码的页面，这里获取验证码只是个幌子，真实情况是骗子在向银行发起请求获取验证码，然后骗取用户提交：

​

“验证码超时失效，请返回重新获取（不显示金额）”
如果你这边操作慢了，导致骗子那边输入超时，就会提示让你重新操作获取提交一次（想的真周到=_=）：

​

“通过=【显示余额】”
只是不是有提供余额信息嘛，这里就提供用户确认再次骗取二维码（让人觉得像是银行正常查询出来的）：
​
“余额查询”
如果骗子那边执行什么操作核实到金额不对时，就是提示用户重新填写正确金额：

​

​

“取款密码错误”
如果发现取款密码不对，也会重新让用户提供：
​
​
“手机号码错误”
然后是手机号：

​

​

“银行卡号错误”
银行卡号：

​

​

“身份证号错误”
姓名和身份证号：

​

​

“审核通过”
​​
然后是审核通过，让你耐心等待结果（等待骗子把钱套走跑路 $_$）：

​

“不支持，请更换名下其他银行认证”
如果发现某些银行卡不太好利用，就会提示更换：

​

“换【信用卡】"
换信用卡：

​

“换【储蓄卡】”
换储蓄卡，反正对方为了达到目的，会反复榨干你的每一处积蓄，比大多数服务业都贴心……

​

“有效期和后三位/错误”
然后这个是信用卡相关的信息，和密码一样重要，也要注意不要轻易透露出去：

​

​
“【建设银行】==获取授权码”
使用建设银行应该是需要额外的授权码，骗子也会想办法搞到手：
​

​

“【网银密码】”
如果存在网银，也会骗取登录密码进行远程套现：

​

​

“请保持银行卡内余额大于5000验证”
下面的就有意思了，如果骗子觉得你卡内金额太少（穷），就会提示你再多搞点过来：

​

“请保持银行卡内余额大于10000验证”
或者骗子心情好，来个狮子大开口：

​

“验证码超时失效，请返回重新获取（显示余额）”
然后这是验证码超时提示金额，和之前差不多：

​

​

“只支持工、平、浦、招、光储蓄卡”
这里本来应该是提示支持指定银行，不过……看来天下开发者总是有不同的环境，类似的处境，唉，同情那位仁兄3秒：

​

“下载 apk 拦截马”
​​
这里也一样，本来该骗用户下载安卓木马的，但似乎也还没准备好：

​

​

​

“联系在线客服”
一样：

​

“信息不一致，请返回从新填写正确的预留信息”
察觉用户输入信息不一致，重新填写：

​

“扣款--打枪”
这里也有意思，基本就是骗子已经从用户手上套现了，为了安抚民心，整这一大段话提示用户这是流程的基本操作，以及后续会返还之类的（信你个gui）：
​
​
“【先回复打字，再设置此功能键】”
然后这是最后一项了，大致就是骗子自己编话术，然后返回提示用户：

​

​

​​
0x05 结语正道的光可以迟到，但不能缺席，由于目前所收集的诈骗团伙相关信息还并不充分，后续会想办法陆陆续续收集，再交由警方处理

​

最后呢，其实也并没有什么额外要说的，因为防骗或安全意识这些大道理，国家政府再到媒体个人，每天都在强调，稍微留心一下就行了，从这整个过程看来（攻克过程不重要，可以忽略），贬义的讲，骗子考虑业务场景还挺周到的，也有不少地方在利用人的弱点，就比如之前图中那些接近官方的环境和话语，大家还是得注意分辨；
然后就是最最重要的，因为那封邮件是一切的开端，注意提高账户密保和安全性是一方面，比如加个登录二次验证什么的，另一方面就是不要轻信任何信息，涉及链接或二维码这些的，即使来自身边熟悉的人，因为他们可能也只是受害者链上的一个节点而已。

​

另外，额外宣传一波 (¬‿¬)，国家出台的反诈中心APP，除了风险检测与线上举报外，更有相当多的真实案例公布更新，可下载备用。
​