(水文警告)沒有技術含量,他被黑的唯一原因就是用 phpStudy 開服還不改 MySQL 密碼(後來發現所有後台他都不改密碼)。
怎麼發現他是用 phpStudy 的呢?右鍵查看原代碼,可以看到一條報錯信息,爆路徑了。
之後我就直接訪問 /phpMyAdmin,讀一下 README 得到版本是 3.5.8.2(2013年),很老了。但一查詢並沒有什麼直接的漏洞,我就輸了個默認密碼 root,沒想到就登進去了。
登陸後台第一件事幹嘛呢?作為一名合格的當代大學生,當然是把他庫子給拖了。下載 SQL 後,我發現他釣魚的規模還挺大的,不停地有人在提交,就幫他把表名給改了,這樣釣魚的信息就存不進去了。然後是寫 shell,SELECT INTO OUTFILE 失敗,可以用日誌文件寫:把 GENERAL_LOG 打開,GENERAL_LOG_FILE 放到我們需要寫的文件路徑,再 SELECT 一句話文本就寫入成功。此處發現他這個服務器很可能曾經被黑過。
寫好了之後,由於他是 administrator 權限運行的,想怎麼玩就怎麼玩(比如 rdp 上去看看、幫他格盤、塞點 fork bomb 或者勒索軟件等等,看你想像力)。tasklist 一下他也沒有裝殺毒軟件。
以下是他使用程序的一些細節:
走之前把他的 SQL 數據全部清空了,如果他有下載或上傳我就沒辦法了。
數據和源碼僅用來研究學習,我沒有上傳或者給任何人。
服務器已經被正義客服封停,所以那個 IP 應該已經不是釣魚了。
他又車硬,這我就沒辦法了,畢竟沒有損失我報 cyberpolice 估計不會看。