之前删掉了
一九年に最後の侵入をした時のことを思い出すと、頭がからっぽになってしまった😅
事件の原因#
数年前に遊んでいた時、様々なブラックグレイ産業に関わっていたため、孤注一掷を読んだ後、非常に憤慨した。
三回読み終わった後、私は自分のすべてのメールボックスを探しましたが、何の役にも立ちませんでした。
ある日、私の受信トレイに、そうです、受信トレイに迷惑メールが配信されました。
信じられないことに、ゴミ箱に飛ばされずに受信されました。
やっと来た、興奮した心、震える手
メールの入り口#
送信ドメインは解析されず、送信メールボックスへのアクセスは IIS で行われます。fofa に投げてみる
おそらく迷惑メールを送信するための専用サーバーであり、調べるものはありません。
QR コードの解析#
まずはデコード
おそらくこのウェブサイトですね、すぐに正確な侵入を行います🤣
これはウェイユンの共有ファイルを利用した活性化コードであり、再びウェブサイトのアドレスを取得しました。
短縮 URL は 2 つのレベルでリダイレクトされ、明らかに正規のウェブサイトへのリダイレクトを使用して URL のセキュリティチェックを回避するために行われています。
このリダイレクトの方法は良い方法です、兄弟たち、私はまず菠菜にコードを作ってから、また会いましょう🤪
URL 内の base64 をデコードすると、2 番目のレベルのリダイレクト URL が得られます。2 番目のレベルは百度のサービスであり、どの部分かはまだわかりません。
物語の主人公がわかりました
ウェブサイトの外部#
直接アクセスすると、百度のエラーページにリダイレクトされます。おそらく UA フィルタリングされています。
心配しないで、私はUser-Agent Switcher and Managerを持っています
入りました、それではまずウェブサイトの構造を見てみましょう
擬似静的ですね、どの /h8 のパス名でも cms に戻ります
検索ボックスも使えない、h8 から抜け出してみましょう、エラーが出ました
調べたところ、若依のシステムのようですが、ウェブサイトにはジャンプボードまたはホワイトリストがあり、/loginに戻ると百度のエラーページにリダイレクトされます
バックエンドに対しては何もできないので、fofa に投げて cname と ip を見つけました
たくさんのサイトがありますが、これ以上調べても意味がありません。ソースサイトを少しスクレイピングしてみましたが、あまり面白くありませんでした。次回はポートスキャンを使用します
この cname はかなり統一されていますので、whois で調べてみましょう
ウェブサイトの内部#
ソースコードを見てみましょう
フロントエンドと組み合わせても、どの cms かわかりませんが、base64 の層がありますので、まずは解読してみましょう
新しいドメインです
どの cms かわかりませんが、ウェブサイトのレイヤーで何かを動かすことはできないようです
支払い側#
動画を視聴するにはお金が必要です
少し見覚えがあります、ソースペイメントで、アクセスできません
残りは自社開発のような感じのアリペイで、Google のキャプチャも付いています
なぜ今、H サイトを開く人々はこんなに技術があるのか、まとめ#
私は下手くそで、自分でも見ることができないほど何をしているのかわからない程度です
もともとはもう少し掘り下げてみたかったのですが、今は脳がフリーズしてしまいました。幸いにも、ドメインやその他の情報はすべて国内にありますので、関連情報をまとめてセキュリティの友人に送りました😶