记一次钓鱼邮件反制记录

某客户近期收到一封钓鱼邮件，反馈公司内部有同事已经中招并遭受了经济损失。所以把钓鱼邮件的样本的样本发给我们分析。

样本分析

钓鱼邮件的附件本身是一个word文档，样本本身不携带木马病毒，Word中附带一个二维码，扫码进入钓鱼网站页面。

典型的文档二维码扫码手机跳转进入钓鱼网站的钓鱼方式。文档本身无毒也不加载宏，可以绕过邮件网关的拦截触达用户。

钓鱼网站存在漏洞拿下后台权限

尝试访问网页的后台页面，发现钓鱼网站使用了thinkphp框架，并且未关闭debug模式。

通过debug报错信息泄漏的部分源码内容得知，访问后台需要带上参数ab2!32cd 。

通过钓鱼的管理后台获取当天所有受害人的信息，其中就包括了客户公司内部的同事信息，由于发现及时未造成大的金额损失。

管理后台有记录管理员的登录ip。

通过ip分析诈骗团伙的大概位置，位于云南边境附近

后台文件上传拿下钓鱼服务器权限

拿到后台权限后，简单测了下文件上传的接口，发现还在存在上传漏洞，直接上传webshell拿下服务器权限。

赞赏

微信赞赏支付宝赞赏