Beanfun 釣魚網站攻擊實錄

8 / 30, 2014 其他

大概在前幾天晚上10點多,有人在駭客社群Po了一個釣魚網址,然後罵說這網站有多不要臉多靠杯,不過既然他Po在駭客社群,一大群黑黑們當然不會輕易放過他囉,於是那天晚上就引起了對該網站的大規模攻擊,啊我當然就要寫個實錄,挺有趣的故事XD

在開始之前,先來強調幾點

本人(Allen Chou)並沒有參與此攻擊,只有在必要時提供SQL注入教學和測試等等,其餘皆只有觀看他人攻擊,為什麼呢?因為當時我在看刀劍神域XD
此網址目前仍然上線中,不過漏洞已經修復(架設釣魚網站也要修漏洞….),至於這釣魚網站屬於誰不得而知,因為Whois資料是假的

還有,台灣是有法律的,請勿任意對他人攻擊
根據刑法第三十六章:
第358條:無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。
第359條:無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。
第360條:無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於公眾或他人者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。
第361:條對於公務機關之電腦或其相關設備犯前三條之罪者,加重其刑至二分之一。
第362:條製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。
第363:條第三百五十八條至第三百六十條之罪,須告訴乃論。
以上資料來自這裡

8/23在晚上9:53,有人Po出了此網址
http://beanfun.zxiu.me/
beanfun-phishing-hack-1

很快的,透過猜測法,後台登入網址被猜了出來,他後台超可愛的XD
http://beanfun.zxiu.me/admin/login.php
beanfun-phishing-hack-2
我大概測試了一下,存在SQL注入漏洞,雖然沒有錯誤訊息,但是只要遇到單引號就會500,肯定存在漏洞
beanfun-phishing-hack-3
然後我就去看動漫了(?),這段時間,被挖出來的東西很多,有一群人專門負責SQL注入後台,另一群人則在找Panel登入和phpMyAdmin等等

很快的,在10:13,Panel被挖出來了,採用 wdcp
http://beanfun.zxiu.me:8080/
beanfun-phishing-hack-4
然後10:17時,探針也被調出來了,同時也傳出已經有人注入成功了
http://23.89.145.158/iProber2.php

10:22,phpMyAdmin被挖出來了,超級舊版
http://beanfun.zxiu.me:8080/phpmyadmin/

10:29,SQL注入正式成功,注入語法是

他的後台蠻簡潔的,就是看資料而已,上方黑畫面是敏感資料不便公開
beanfun-phishing-hack-5
資料被挖出來之後,開始有人DDoS此主機,大概在 10:32~11:20 伺服器都是癱瘓中,終於在11:20恢復運作了,大家就開始瘋狂抓資料,最後,在隔天 7:12 有位黑黑把Table Drop掉了XD
beanfun-phishing-hack-6

也就是說,從這網址首度被Po出來到被入侵大概半小時,然後之後被DDoS癱瘓,最後資料被清空,大概就是一個晚上的事情,不得不說,這網站的主人其實也挺可憐的..
beanfun-phishing-hack-7


2014/9/3更新:
感謝網友Tzu-Hsin Huang提供,目前密碼已經被暴力破解出來了,是 778899 ,不過與本人無干(趕快撇清責任XD)