1、意外發(fā)現(xiàn)

前陣子有朋友在追美劇《權(quán)7》，所以偶爾會拖我找資源："你有權(quán)7的資源沒有？" "幫忙找下熟'肉？" 雖然我一直吐槽"自己不會去開個會員或者百度/谷歌找?" 不過又想了想，對于非技術(shù)圈的朋友，很多人總是這樣來思考：網(wǎng)上資源再豐富，百度谷歌再牛，也沒有比自己身邊"修電腦"的朋友強吧。

好吧，看在一頓小龍蝦的面子上，我就根據(jù)資源的名稱，各種關鍵字搜刮一遍，然后給他發(fā)了"熟'肉"（高清無碼有字幕），順便把網(wǎng)址和鏈接都發(fā)給他，說明后面有更新的話可以自己尋找。過了一周，這位朋友又不好意思的說，"那個網(wǎng)站的資源好像停更了？要不再幫忙找找？"。

又為了兩頓小龍蝦的情面，我又重復之前的動作，不過這次，收獲的不僅僅是小龍蝦，而是意外的發(fā)現(xiàn)。之前搜索的時候，瀏覽器掛了adblock之類的插件，所以比較少看到到網(wǎng)頁廣告，那天剛好做了次升級，所以用了備用瀏覽器。

用同樣的關鍵詞，到各種資源站逛了一圈，由于在搜索資源的時候有些網(wǎng)站出的不是'熟'肉'版，遂關閉網(wǎng)站再到其他資源站，這樣便來來回回跳了好幾個資源網(wǎng)站。然后就一直被下面這些彈框頁面時不時辣眼睛...基本是這種格式的（防河蟹，已打碼...）：

明明訪問的這些網(wǎng)站的域名都不同，但是彈框的內(nèi)容卻幾乎都一樣的，這種情況基本兩種可能：

第一、這些電影資源網(wǎng)站被掛馬掛鏈了，被動彈框的；

第二、這些電影資源網(wǎng)站存在的意義就是主動為其他"主播"、"直播"、"泛se情"、"se情"網(wǎng)站做導流的。

憑借*****的經(jīng)驗，隱約感覺不太對路，決定看看情況。

2、初探究竟

①網(wǎng)站內(nèi)容

為了一探究竟，便依次點擊不同網(wǎng)站上面這些彈框圖片，之后便跳轉(zhuǎn)到對應的網(wǎng)站，此時發(fā)現(xiàn)這事兒越發(fā)有點蹊蹺，這些網(wǎng)站除了域名，整個布局幾乎是一樣，而且，已經(jīng)不是"泛色情"之類的美圖網(wǎng)站了，就是色情網(wǎng)站?。ù虼a打到手痛...）

②誘導支付

大概分析了網(wǎng)址結(jié)構(gòu)和內(nèi)容布局，基本遵循一個規(guī)矩：圖片免費觀看，視頻只能試看，觀看全部需要付費購買。例如，這里點擊任意一個視頻，然后到了這樣的頁面介紹=>

點擊立即播放看看？

一直處于加載中，不太對路啊，我這獨享100M速度，而且也沒做頁面攔截，估計這個視頻壞了；

再換一個看看？

還是一直處于[數(shù)據(jù)加載中]，在沒有看到任何預覽的情況下，這個時候網(wǎng)站又開始彈出支付頁面 （看來是想告訴大家：趕緊花個十幾二十塊，就可以不用再等馬上看了，支付引導語也說明了"盡享奇妙之旅！"）=>

后面基本都是摳腳大叔在運營的=>

喲，現(xiàn)在的'se'情'網(wǎng)站，用戶體驗做的這么好？還搭上了移動支付的列車，都能微信和支付寶支付了。從產(chǎn)品的角度上看，這個誘導支付做的還可以，無論是點擊視頻彈框，還是點擊網(wǎng)站右上角[開通VIP]這個按鈕，每次都能彈出不同的誘惑圖片，并且價格非常"親民"，大體都是十幾二十塊這樣子。

不過經(jīng)過多個頁面的分析，我猜測這些網(wǎng)站：可能僅僅是一個殼，里面根本沒有視頻服務之類的，最終目的就是誘導用戶采用微信或支付寶小額支付，然后消費者吃啞巴虧。（說白了，就是基于'se'情'誘導的小額度金融詐騙）

好吧，只是猜測，具體是不是這樣子，還需要后面一步一步驗證。

（下面的內(nèi)容相對比較技術(shù)，大家如果沒興趣，可以拖到文末看這次調(diào)查結(jié)論）

3、信息收集

直覺告訴我，這些網(wǎng)站應該用的是同一類CMS（內(nèi)容管理系統(tǒng)），更直接一點，就是"se'情CMS"，而且背后可能是某些做'se'情'灰產(chǎn)的團隊在運營。既然都是套的CMS做的網(wǎng)站，那么就有同樣的banner、網(wǎng)站標識、開發(fā)者信息之類，即"網(wǎng)站指紋"。

①查看網(wǎng)站源代碼，找出"網(wǎng)站指紋"，類似這樣=>

觀察這幾個網(wǎng)站，每個網(wǎng)站在前端代碼里面的head和footer標簽里，都有對應的指紋信息。

②通過Google或Bing，根據(jù)網(wǎng)站指紋和關鍵詞語法（例如intext或intitle）進行搜索 =>（注意：搜索這類網(wǎng)站，建議關閉安全搜索功能，否則搜到的內(nèi)容很少）

根據(jù)幾個搜索引擎得到的情況，這么多相同的網(wǎng)站和頁面，應該是做這個行業(yè)的團隊，都購買了相同的或者類似的CMS，然后自行搭建推廣，通過搜索引擎SEO或者各種資源網(wǎng)站掛馬推廣等，并誘導通過微信或支付寶付費。

看來這已經(jīng)不僅僅是幾個色情網(wǎng)站這么簡單的事情了，應該涉及到色情誘導詐騙這個產(chǎn)業(yè)的規(guī)?；\作。

③接下來，我們還需要進一步的做信息收集，例如這些網(wǎng)站的服務器架設在哪個地區(qū)？到底在國內(nèi)還是在國外運營的？ 聯(lián)系信息是什么？看看是否有關聯(lián)性，是分散運營還是某個大團隊在運營？ 我們對這些色情網(wǎng)站服務器進行信息探測，這里借助shodan（撒旦，傳說中的"黑暗搜索引擎"）來進行分析：

網(wǎng)站1：http://xxxxnii.com/

開放端口：21、80

服務器地區(qū)：山東青島

托管服務商：上海安XX網(wǎng)絡

Whois域名信息：開啟了安全防護，只能看到域名服務商的信息，沒有網(wǎng)站運營者個人信息

網(wǎng)站2：http://xintu.91xxxx.cn/

IP地址：103.229.X.X

開放端口：80

服務器地區(qū)：香港

托管服務商：Sun network LTD，新網(wǎng)絡（香港）有限公司

備案信息：未備案

域名注冊人：王xx

注冊人聯(lián)系信息：185xxxxx@qq.com

域名服務商：北京藍xxx科技有限公司

網(wǎng)站3：http://xintu.ccxxxx.com/

IP地址：23.23.X.X

開放端口：80、21、5985

服務器地區(qū)：海外（美國）

備案信息：未備案

注冊人地區(qū)：福建

域名服務商：godaddy

域名注冊人： LIxx

注冊人聯(lián)系信息：806xxx@qq.com

……

網(wǎng)站4：http://weixxx.com

IP地址：107.151.X.X

開放端口：80、21、88、443……

服務器地區(qū)：海外（美國）

托管服務商：VpsQuan

Whois域名信息：開啟了域名保護，無注冊人信息

網(wǎng)站5：http://txxxx.com/

IP地址：103.234.X.X

開放端口：80、21、443、12345……

服務器地區(qū)：香港

Whois域名信息：開啟了域名保護，無注冊人信息

網(wǎng)站6：http://mlxxx.com/

IP地址：23.23.X.X

開放端口：80、21、5985

服務器地區(qū)：海外（美國）

備案信息：未備案

注冊人地區(qū)：福建

域名服務商：godaddy

域名注冊人： LIxx

注冊人聯(lián)系信息：806xxx@qq.com

……

經(jīng)過20多個網(wǎng)站的分析，發(fā)現(xiàn)無論是服務器地區(qū)、服務器托管商、域名注冊商、注冊人信息等等，都非常分散。但是仍然可以得到一些信息：

a. 這些網(wǎng)站80%托管在香港和海外（美國）；

b. 清一色沒有做正規(guī)備案；

c. 大部分都沒有留下注冊人信息，部分會留下QQ郵箱。

小結(jié)：經(jīng)過上面四個步驟的信息收集，我們可以得到這個基本的情況：這些'se'情'網(wǎng)站是由很多小團隊分散運營，通過購買類似的"se'情CMS"進行搭建并運營；另外，為了避開國內(nèi)的監(jiān)管，大部分選擇將服務器托管到香港和美國為主的服務商，并且很少留下注冊的聯(lián)系信息。（后續(xù)可以通過微信和支付寶、網(wǎng)站數(shù)據(jù)庫等可以做進一步追蹤）

4、漏洞挖掘

如果按照正常的灰產(chǎn)打擊流程，最直接的方法就是采用“釣魚執(zhí)法”，例如直接微信或者支付寶支付，然后看看能否加到好友，繼而直接揪出幕后運營者（如果對方用的小號，并且騰訊和阿里不介入，此方法估計走不通）。

所以，在這之前，我們先看看能否在技術(shù)上進行突破。例如，能否通過拿到后臺數(shù)據(jù)庫，找到后臺管理頁面，直接接管網(wǎng)站，或者通過數(shù)據(jù)庫找到更加詳細的管理員賬號信息等等，甚至通過服務器提權(quán)拿到整個服務器權(quán)限；而實現(xiàn)這些的前提是：能否找到這套"se情CMS"的漏洞？

考慮到這類Web軟件偏"地下流傳"，不像知名的discuz論壇，有很多公開漏洞和滲透工具可以直接利用。所以，先用Web漏掃看看有沒有能否找到常規(guī)漏洞。先對托管在國外的幾個'網(wǎng)站動手，發(fā)現(xiàn)都是PHP+MySQL架構(gòu)，很多在Windows+IIS上面跑，而且幸運的是，大體都能爆出SQL注入和XSS跨站腳本漏洞，當然，這些漏洞能不能用，還得進一步驗證。

（注明：上面提到的漏掃，Burp/AWVS/Appscan隨意，更具體的使用這里省去）

5、SQL注入滲透

接下來，先手工找?guī)讉€注入點看看，點擊網(wǎng)站的分類列表，可以得到類似"php?id=x"的鏈接=>

這里收集了不同網(wǎng)站的一批注入點，然后我們拿神器SQLmap出來溜一圈。不同網(wǎng)站防護情況不同（例如安裝了waf），注入的效果是不同的，不能一條指令走到黑，需要調(diào)整注入的參數(shù)，例如是否加長時間延遲、是否采用隨機頭部、是否加大注入級別。按照這個思路，大概需要用到這些指令：

① SQL注入得到數(shù)據(jù)庫和管理員信息

root@kali:~# sqlmap.py -u http://txxxcom/list.php?id=1 --dbs --users

root@kali:~# sqlmap.py -u http://txxxcom/list.php?id=1 --dbs --users --dbms mysql

root@kali:~# sqlmap.py -u http://txxxcom/list.php?id=1 --dbs --users --time-sec 2 --dbms mysql --level=2 --risk=2 --random-agent

②根據(jù)注入得到的數(shù)據(jù)庫，獲取數(shù)據(jù)庫里面的數(shù)據(jù)表

sqlmap.py -u http://txxxcom/list.php?id=1 --tables -D "aaaaaa"

sqlmap.py -u http://txxxcom/list.php?id=1 --tables -D "aaaaaa" --random-agent

③獲取管理員數(shù)據(jù)表或者暴力脫褲

sqlmap.py -u http://txxxcom/list.php?id=1 --dump -T "xxadminxx" -D "aaaaaa"

sqlmap.py -u http://txxxcom/list.php?id=1 --dbms mysql --dump-all -D "aaaaaa"

（注入失敗）

（注入成功，正在下載數(shù)據(jù)庫和獲取管理員賬號密碼）

（注入成功，進行管理員密碼破解，這里哈希值沒跑出來，需要借助在線MD5工具破解）

成功的并且dump數(shù)據(jù)庫下來的部分網(wǎng)站截圖：

6、密碼爆破與后臺登錄管理

①通過以上SQL注入，拿到了這些網(wǎng)站的管理員用戶名及密碼哈希值（MD5值），需要對MD5做暴力破解，破解成功率還不確定，如果哈希值是"加鹽"的，那么成功率將大大減低，所以也只能碰碰運氣吧。

這里直接找?guī)讉€在線的md5網(wǎng)站，跑一圈看看：

上面這個是6位數(shù)字的，直接秒破。再試試下面一個=>

這個沒法破解出來，估計密碼長度比較長，再繼續(xù)嘗試其他的=>

8位數(shù)字密碼的，同樣秒破。另外，不同在線MD5網(wǎng)站的哈希存儲量和計算速度不同，有些后臺還包括了泄露了的社工庫信息，所以可以多個網(wǎng)站嘗試。

②拿到大部分網(wǎng)站對應的管理員賬號密碼之后，接下來就可以進入后臺管理一探究竟，但是怎么進入呢？網(wǎng)站前端頁面可沒有"管理" "后臺"等字樣給我們點擊進入。

這些網(wǎng)站有些默認用 http://xxx.com/admin的管理就可以進入后臺，有些修改了后臺地址，需要用后臺掃描器（havij、御劍、burp）進行探測。

直接采用admin作為后臺管理頁面的：

后臺路徑做了一些變動的：

雖然網(wǎng)站域名不同，甚至運營者都不同，但是后臺管理頁面是一模一樣的，這里將上面拿到的賬號密碼登錄進來=>

③接下來便進入了后臺，然后就有點震驚了：這已經(jīng)明目張膽寫明是"誘'導支付，誘'惑'支付"！

也就是說，有專業(yè)的團隊專門制作這類誘導網(wǎng)站，這僅僅是我無意發(fā)現(xiàn)的，肯定還有很多很多......

我們來看看這個"誘'導支付"系統(tǒng)到底是怎么操作的？

a. 管理賬號

b. 資源添加：大部分的圖片和視頻鏈接都是外鏈，除了圖片是有效的，有些視頻根本是空的，有些則是無效鏈接的（假的）

b. 資源添加：圖庫列表這里的圖片全部采用外鏈，而不是本地存儲，很多失效了。

c. 分類設置：可以對網(wǎng)站首頁的圖片分類做簡單的修改

d. 支付設置：這里才是重點！把二維碼改成自己的，就可以坐等傻瓜打錢過來啊?。ū韧诒忍貛艔娞?.）

小結(jié)：通過對后臺系統(tǒng)的分析，基本坐實了我最開始的猜測：這些所謂的'se'情'網(wǎng)站，本身就是一個"殼"，所有的圖片都是外鏈，而幾乎絕大部分的視頻也是假的，即便有人真的通過微信或者支付寶支付了，跳轉(zhuǎn)之后看到的，也永遠只能是一個"資源加載中"的黑屏頁面。（這真的就是"錢也付了，褲子也脫了，你就給我看這個？！"......）

總之，這類"誘'惑'支付"系統(tǒng)，披著'se'情'的皮，搭上移動支付的車，欺騙廣大"消費者"。而由于服務的"特殊性"，大部分服務器又架設在國外，交易金融又是小額，此類用戶基本都是吃啞巴虧的，頂多就是丟下一句"艸"，然后學乖了一點點。

tips：寫文章的時候，突然好奇搜索了一下，然后就看到有人在一些問答頁面上的提問=>

7、文末

①根據(jù)上面的內(nèi)容，我們可以把整個誘'導的鏈條大概用下面的圖片展現(xiàn)出來=>

②接下來要不要揪出這些誘導欺詐者呢？（記住，這個就是詐騙，可不是"1024"或"caoliu"）這個已經(jīng)不是我力所能及的了，數(shù)量多到無法估量，到底揪出誰呢？

而且搞掉一個站肯定還有類似的一個站起來，這里需要云服務商（提供服務器托管的）、移動支付平臺（微信支付、支付寶支付）、網(wǎng)警、社會各界一同介入處理的。

③一直有句話是說："互聯(lián)網(wǎng)一半以上流量和資金屬于'se'情'和'菠菜'的"，之前我還不太相信，現(xiàn)在有點信了。大量"地下的沒有上臺面的”網(wǎng)站非常多，而這些網(wǎng)站有多么的"黑"或者"陰暗"，超過我們的想象，也越過了我們的底線。

④這個'se'情'誘導的欺詐案例，僅僅屬于"灰產(chǎn)"的一種；隨著云服務的高速發(fā)展，移動社交和支付的極度便利性，這類"灰產(chǎn)"服務已經(jīng)慢慢滲透到我們的生活，你有沒有遇到類似的或者其他案例？你是怎么解決的？

（另外，如果你心疼基友，轉(zhuǎn)給他看，不要再讓他受傷害了...）

轉(zhuǎn)載自：http://blog.51cto.com/chenxinjie/1965198