随手打开相邻的IP,果然出来一个商务网站,ASP写的站点,首先让人想到的就是注入,因为韩国网站,ASP+SQL做成的网站,十有八九有注入漏洞,这也成了国内小黑抓肉鸡的一种快速方式,一年前,用GOOGLE随便搜出来的韩国ASP站点,挑一个就有漏洞,当然,现在的安全比以前好多了.

　　整个站大致看了一遍,安全比我想像的好,至少注入漏洞补了,后台到是猜到了,但没密码.拿扫描器扫了一下,端口只开了80,得不到啥有用的信息,看来又不好下手.没办法,只能无聊的在网站上慢慢翻,韩文是看不懂的,只能凭感觉跟图片判断页面的意思了.网站的版面并不太多,跟大多的商务站一样,主要是些产品介绍,公司新闻等,再一个留言版,在留言版面折腾了半天,看能不能写SQL代码,结果无功而返,难道就没法下手了吗?

　　郁闷的时候,我总是喜欢拿起我的大杯子喝水,以前还学会抽烟,后来写程序的时候,更是每晚恨不得抽掉一包,再后来就是喉咙哑加咳嗽,自己知道不能再这样下去了,硬是忍了两个月,把烟戒下来了,但留下一个毛病,一思考的时候,就想拿吃的往嘴里送,演变到现在就是一直不停的喝水.

　　喝着喝着,想到网站产品图片那么多,应该有个上传图片的地方吧,在网站后台路径随手加了个UPFILES.ASP,竟然真出现了上传页面,而且并不要权限,这下应该有戏了.直接上传个ASP木马上去,结果不成功,弹出的页面应该是不支持ASP文件,可想而知,肯定是做了限制的,于是只能抓包,用UE改后缀加空格,NC提交成功.在IE栏里输入上传木马地址,打开,出现了可爱的登陆窗,真是柳暗花明,感觉自己运气一下好了起来,接连又喝了几大口水.

　　现在是有了一个SHELL,但权限不大,只能看看网站的文件,执行简单的DOS命令,输了一个查询端口命令,果然看到这台机子连着SQL服务器的1433端口,看来我的想法没错.心里一动,赶紧去翻网站上的数据库连接文件,呵呵,SQL服务器的连接账号密码全在,而且是管理SA权限,看到下面有一段通用防注入的代码,又看到这个文件的日期,不觉笑了,原来那家伙是通过注入进来的,然后给补了注入漏洞,这台网站服务器估计他没有拿到管理权限,所以连这个文件的日期改动了他都没还原.

　　赶紧用SQL连接器,输入IP,账号和密码,点连接,等的过程中,又兴奋的喝了两口水,当弹出窗口弹出无法连接时,还有半口水硬是呛了我半天.NND,难道还做了IP限制,只好传了一个带SQL命令的木马到网站服务器,连上去后果然没问题,加了个管理员账号密码,远程登陆上SQL服务器的1988,就这样进了这台SQL服务器.

　6

　　打铁要趁热,进了SQL服务器后,先就直奔系统日志,SQL日志,心里还希望那家伙能粗心大意一下,结果还是不能如愿,所有的日志都被清空了.这时的感觉,就像拿着藏宝图,一步一步来到宝洞前,却发现没有门的钥匙,只能在门外徘徊,干瞪眼的份.到这里又没有进展了,只好作罢,在SQL服务器里加了一个登陆监控的小程序,隐藏进程的小东东,如果有人登陆,自动记下登陆IP,生成一个TXT文件,然后删了增加的账号,清除了所有我留下的日志(俗称擦屁股),走人.

　　多半情况,入侵一台电脑,运气占了很大的成份,其次才是技术和经验,如果那个家伙再不用这台肉鸡,那我所做的这些都是白费.一个晚上脑子里都在胡思乱想,睡不塌实,第二天一早,又传来不好的消息.

　　跟上次一样,T宝的店主收到同样的留言,同样买了一部手机,又用掉了4000多块,这次的收货人换了:云南省昆明市解放路XX花园1506 张丽,我连忙问转账留下的IP是我多少,得到的就是那个SQL服务器的IP,心一动,赶紧重新加账号登陆上去,查看监控程序生成的TXT,上面记录着一条信息,登陆IP和时间,查了一下,IP来自中国北京的一个机房的IP,扫了一下,但没有任何反映,扫不到任何端口和信息.时间就是凌晨,那家伙就在我们眼皮底下把钱转走了.

　　上面对这个案子也越来越重视,同时也是施加了更大的压力.下午,兄弟从河南赶了回来,领导召集所有办案人员,开了一个分析会.

　　黑板上写着详细的案件信息:报案人,两个收货人,银行账号,T宝店主,还有嫌疑人,以及相关的日期等.兄弟汇报了在河南调查的结果,那个颜小玉平时挺喜欢上网,长的比较漂亮的女孩子,在网上的网友肯定很多,她始终不知道到底是谁给她寄的手机,而且有网友在网上说过会寄礼物给她,她也不确定是不是那个网友,因为以前聊天只是开玩笑,而且也不记得有没有给过人家自己的地址.兄弟记下了颜小玉的QQ号,网名,以及那个网友的QQ号,就赶回来了,我也汇报了两次都是用的同一韩国肉鸡登陆的网上银行,而且还得到一个来自北京的IP登陆这个肉鸡,但这个IP扫不到任何信息,只能靠IP判断是来自一个电信的机房.其它的的人员也分别汇报了相关的信息.接下来七嘴八舌的讨论,大概有分析1)两个收货人都是女孩子,而且相隔这么远,会不会是她们有共同的网友或者熟悉的人做的事;(2)两次转账交易都是在同一店主里买的手机,会不会跟店主有关系而我们只查了表面;(3)嫌疑人为啥买手机送人;最后一个问题就是,那个家伙到底会是谁?讨论最后领导又分配了任务,一组负责查两个收货人和她们的共同熟悉的人员以及网友,一组查T宝店主,我跟兄弟负责查北京的这个IP.为了不打草惊蛇,账号暂时不冻结.

　7.

　　各斯其职,我和兄弟又查了一遍北京的那个IP,仍然是没任何信息,感觉就像是,电脑压根儿没开,或者装了防火墙,屏蔽了所有端口.兄弟只好打电话向那边机房负责人询问,核对了身份后,对方反馈回来的消息是,这个IP并没有分配给机房的机子,也就是说,机房里没有服务器用这IP.我跟兄弟说,怎么可能,难道有人利用这个IP没有分配使用,用拨VPN的方法,利用这个IP上网?这样的话,机房里肯定有一台机子开了VPN服务.

　　由于到机房查路由分析具体是哪一台机子开VPN,数据是否是通过VPN服务器中转,得一些办案原件,兄弟于是连忙坐飞机赶到北京机房,我则继续利用手上线索,寻找信息.

　　扫描了一下整个子IP段的所有机子的VPN端口,在子网内发现了两台服务器开着VPN服务器,估计那家伙肯定是拨号到其中一台服务器,然后分配了那个没使用的IP,这样,信息就通过这台服务器中转,并且并不会在服务器上留下信息,只会在VPN服务里有拨号的IP地址.如果服务器里的日志被删除,那就只能查路由里的信息了,好在只是一个子网的路由,影响应该不是很大.

　　轮到我没事做了,倒是可以分析子网内的机子,或者拿下其中一台的权限,然后通过嗅探,看能不能得到想要的VPN的账号,密码等,但如果那家伙不登陆,那就啥用也没.而且工程量也太大.所以还不如放松一下,等着兄弟那边的好消息吧.

　　把那两个开VPN的机子IP发信息告诉给兄弟,要他重点查一查.过了一天,各方面都反馈回来了消息1)颜小玉和张丽两人都在一个交@友网站里注册过(用GOOGLE搜她两人的网名时发现的);(2)她们有在交%$友网上认识的共同的网友,两人都在交$友网的QQ群里.(群里的人员比较多);(3)交%友网的安全并不理想,办案的同事把交$友网的数据库下下来了,里面有所有会员的全部信息.(包括会员的住址,联系方式,QQ,手机,上传的照片地址等);(4)T宝店主的详细信息,21岁,在读大学生,因有家人做手机生意,所以在T宝上开了个店,挣点学费和生活费.(其它的有用信息无).我们这边就看兄弟查的结果了.

　　摊子是越铺越大,看上去线索是越来越多,但或许这些信息又会误导我们.但没有得出结论前,谁也不能肯定,这些信息到底有没有用,而且还必须相信它有用,并继续追查下去.

　8.

　　下午,兄弟那边有了好消息了,正在往回赶的途中.领导又召集起来开了个会,原来账上中午又多了5000块,领导经过考虑,决定先冻结那家伙的账号,不能让损失更一步的扩大,同时,交待各组加快速度,把重点放在交#友网的QQ群里的人,很有可能嫌疑人就在里面,再其次调查一下T宝店主的网友情况,或者在学校的朋友情况.网上追察和网下调查同步进行,两边都不能放松,有最新消息,及时碰头交流.

　　领导考虑也有他的道理,账上钱是一进一出一进一出的,再不冻结,损失肯定是扩大,但只要一冻结账号,嫌疑人肯定会进行他的下一步动作,至少首先会清除痕迹,就是擦屁股,怕的是,到时就算找到嫌疑人,证据还不一定能取的到.

　　兄弟一边给领导汇报,一边把打印出来的部分路由日志给我看,一部分他都在上面划了标记.日志很清晰明了,最近两次,那家伙拨VPN连韩国的SQL服务器,两次IP不同,但是MAC地址(网卡地址,在网上具有唯一性)一样,那个IP的数据都是通过其中一台开VPN服务的机子转发出去,路由里每一个连接都记的清清楚楚,时间上也是吻合.查了一下那两个IP,都是一个大城市的电信ADSL拨号IP,因为MAC地址相同,应该可以断定这台电脑,就是始作俑者的电脑,一般的"小黑",不会用ADSL拨号的机子去做肉鸡的.