快捷搜索:  汽车  科技

怎么追踪短信来源(获取手机短信及联系人)

怎么追踪短信来源(获取手机短信及联系人)........2021年7月11号,牡丹江市一男子点击不明链接不见2千。我们每天都会收到各种各样的短信,大部分人看一眼可能会随手删除,然而收到的信息若是跟自己密切相关,人们总会多看几眼或者点开其中的链接。一个不经意的点击,也有可能使我们陷入万劫不复中。类似这种事情我们并不少见:2021年4月5日,杜家庄一群众点击不明链接不见7万元。

导语:透过一条条链接的缝隙,我们看到了不一样的人和故事,没有人知道他们是谁,来自何方,接下来会发生什么样的事。

对于白帽和黑帽而言,链接就像一道墙,一个想堆砌,另一个想推倒。从互联网的诞生开始,这两者一直在掰腕,从未停止过。

前几天,被”精神鸦片”一词刷爆了屏。央媒体直接点名网络游戏给未成年健康成长造成了影响,引起了社会广泛的关注。可谁曾想过,网络游戏只是网络其中的一个鳞片,像这种鳞片在网络中千千万万个,一不小就可能殃及池鱼。

我们绝大部分的时间都泡在网络中,成了名副其实的网络”瘾君子”。在这个”精神鸦片”的网络时代,不止未成年人备受侵害,成年人也同样难以幸免。

怎么追踪短信来源(获取手机短信及联系人)(1)

我们每天都会收到各种各样的短信,大部分人看一眼可能会随手删除,然而收到的信息若是跟自己密切相关,人们总会多看几眼或者点开其中的链接。一个不经意的点击,也有可能使我们陷入万劫不复中。

类似这种事情我们并不少见:

2021年4月5日,杜家庄一群众点击不明链接不见7万元。

2021年7月11号,牡丹江市一男子点击不明链接不见2千。

........

8月5号,给上海一家企业加固服务器,该企业老板说他的手机最近收到不少不明链接。由于他年纪比较大,防范意识不强,随手点击了链接。虽然未发现造成经济损失,但他总放心不下,怕公司的一些机密文件被泄露。应他的要求便对该链接进行查看。

通过APK逆向分析后得知,该链接具有获取设备的权限,其中包括获取联系人、开机、发送短信和拦截删除短信等。

怎么追踪短信来源(获取手机短信及联系人)(2)

whois查询,发现该域名下邮箱以及注册人林*峰的信息。用邮箱在多个平台上登录验证,发现在阿里云平台的手机号码显示是159******98。仅靠前面的三位数字是无法判断出电话的归属地。如果继续深入挖掘手机号,不得不考虑手机号有可能是购买别人的。

利用社工库进一步查询邮箱信息,发现该邮箱还注册了微博。打开微博,上面都是一些不明链接。停更的时间在8月6号。一一查询了上面所有的域名,域名绑定邮箱的信息都是一样。8月份之前的链接绝大部分已经打不开。经查明,能打开的链接均来自同一个IP。黑灰经挑选了一个帝国CMS的电商链接进行攻J,尝试通过它去拿服务器上的数据。选择它的另一个原因是过去渗透这类型的台子也不少。

怎么追踪短信来源(获取手机短信及联系人)(3)

本次渗透用到的工具有sqlmap,在使用sqlmap对数据库渗透的过程中,发现无法写入Webshell,找不到相关的配置文件,提权失败。通过sql-shell查询获取到数据库root账号和密码等一些信息。执行select@@datadir命令获取到数据库的保存位置,即在“D:\EmpireServer\目录下。根据CMS程序的特点,EmpireServer的安装信息基本确定,从而读取\EmpireServer\下的一些目录文件,其中就包括读取数据库配置文件getcon.php的信息。大家需要注意的是读取该目录下的信息时要将“\”换成“/”,否则会读取失败。再一次尝试webshell写入还是失败,手工结果也一样。

有点不可思议,在知道root权限以及网站的绝对路径等多个条件下还是没能拿下。后面又尝试了加密webshell写入结果还是一样。经过一番的分析发现,root获取的账号可以直接远程登录3389端口,才最终实现getshell。上传木马文件获取服务器上的一些信息,其中收集回来的信息有完整的手机号(即上面提到的159的号码),手机归属地为黑龙江绥化,根据手机号查询支付宝信息为*珍。木马文件传回来的信息显示,该链接获取手机内的短信以及联系人信息,并发送到指定的邮箱。黑灰经怀疑无论是支付宝、手机号还是邮箱信息应该都不是放马人的真实信息。

怎么追踪短信来源(获取手机短信及联系人)(4)

由于该服务器上的数据较多,加上还要工作,总共花了差不多5天的时间才梳理出一些数据。在这里也再一次提醒大家遇到不明程序尽量不要去打开,避免造成没必要的损失。

猜您喜欢: