(原创)关于钓鱼邮件的识别和溯源分析 本文仅用于学习和分析
首先我想说明,网络不是法外之地,我奉劝某些人好自为之!
一天到晚被攻击,从代码审计到SQL注入,从XSS到扫描....没完没了。是真的服了,我一个搞电子的,建个网站分享知识,还得被迫学习信息安全。。。
真的是全方位,不同方面来提高我在信息安全方面的认识和理解。
近期收到一个邮件,
简单分析发现问题,发件方没有设置SPF记录,所以我接收到了伪造的邮件。
什么是SPF?
(Sender Policy Framework) 的缩写,一种以IP地址认证电子邮件发件人身份的技术,是非常高效的垃圾邮件解决方案。
接收邮件方会首先检查域名的SPF记录,来确定发件人的IP地址是否被包含在SPF记录里面,如果在,就认为是一封正确的邮件,否则会认为是一封伪造的邮件进行退回。
内容截图如下:
在表单中设置了一个提交按钮,其目标是一个看起来可疑的域名)。
隐藏了一个输入框,其值为一个电子邮件地址(chenyu@myfpga.cn),这可能是预先填充的虚假账号。
有意思的是,由于浏览器会自动填充密码,如果你点击了提交,会自动提交你的密码至网站,导致信息泄露。
直接访问域名,可以看到列目录,
随便打开了一个,里面居然是明文的信息
通过分析域名,无法获取有效信息
只能通过几条路:
1、历史DNS绑定查询
2、同站分析
3、网站安全检测
既然信息挖掘不好弄,就直接上科技吧,通过分析,发现网站默认访问就是列目录,并且存在表单提交
构造请求头,然后Sqlmap跑一下看看,
确认存在SQL注入漏洞
简单分析了一下,这个PHP网站搭建在一个虚拟主机中,该公司的虚拟主机做的安全性还可以。做了权限分离,敏感语句屏蔽。
通过分析数据库,没有找到敏感信息,登录密码登是硬编码在PHP中的,虽然可以爆破,但是很容易被Ban IP。
然后就这样吧,主要是时间盲注太费事了(并且延时太高),懒得折腾了。
如果有哪个朋友闲的没事,可以写个Python程序,往这个接口里面怼大量虚假的信息。