对某大佬的一次扒皮

前言

编辑器有点问题，我截图有点大，上传以后图片缩小了，所以大家看起来可能会有点模糊，如果看不清楚图片的话，在图片上点右键，然后在新窗口打开图片就能看到清晰的图片了。

搞安全这一行的，有多少人面对各种诱惑能不动声色的，又有多少人在法律边缘试探的。

很多人从白帽变成了黑帽，但是多数人还是坚守这份净土，他们就是“白帽黑客。
这也是很多安全公司招聘的时候都会有一个要求“没有黑产经历的”，为什么这么说呢？

因为人一旦走上这条路，以后见库就想脱，见shell就想挂个暗链等等。

下面给大家分享一下这个事件吧

基本信息收集

3月份就拿到控制权了，至今3个多月了，之前只大概看了下，发现他桌面有xise，菜刀等等工具就知道这又是一位大黑阔了，然后就备注了下，后面没时间一直没继续深入，请看键盘记录日志最开始的日期就知道了.

通过远控翻文件夹，桌面发现一个比较有意思的txt文件，下载以后，里面有各种蜘蛛池服务器，扫shell服务器、还有一些不知道用来干啥的服务器，上面就挂了个新浪博客的群发工具。

然后监视屏幕发现他登录了QQ，但是看不到QQ号码，这里有办法可以看到QQ号码，那就是QQ的聊天记录文件夹，在你安装QQ以后，登录的QQ号码会在有个目录下以你的账号生成一个文件夹，用来存放你的聊天记录，文件等等数据。

目录大概如下，不过系统不一样可能路径也不一样。
以下是win7 x86的系统
C:\Documents and Settings\Administrator\My Documents\Tencent Files\

不过坑爹的是他这里登录的账号太多了，我们并不清楚他目前再用的是哪一个QQ号码。

所以只能等他打开QQ的面板，然后看头像，记住头像的样子，然后用你的QQ挨个去查找他，如果查找出来的头像和他这个一致，说明这就是他现在用的QQ了。

看下大佬所在的QQ群，基本都是搞黑产的。

怼蜘蛛池和服务器

因为在他桌面发现的那个txt文件，里面记录了很多服务器的ip、账号、密码等等敏感信息，对我们来说就很简单了，只要通过远控监视大黑阔没有登录服务器的时候，我们尝试登陆上去就行。

其中有台服务器还挂了个登录状态的百度云盘

然后发现里面有这些东西。

机智的表哥们肯定会说 “我屮”，赶紧把他里面的文件全部选中，然后分享，然后保存到自己的云盘里面，再然后取消分享记录，一气呵成.....
咳咳，作为老实人的我们，怎么做不太好吧？
然而你猜我真的这么做了吗？哈哈（滑稽脸）......

收集大佬个人信息

前面得到的QQ号查了下，发现是个小号，没啥信息。
然后开始怼路由器，如果家用路由器的话，里面可能会有拨号上网的账号密码。
这里怼路由器的思路和我以往的文章一样，通过ew反弹代理出来，然后在你本地就可以访问他的内网了。
详细用法见我之前的这篇文章，这里就不再敖述了。

不过大佬就是大佬，人家用的4G无线上网卡（这东西都快成搞黑产的标配了），用的有可能是那种不用实名的流量卡，很难查到。

在他的华为上网设备里面，发现短信通知里面有这个上网卡对应的手机号码。

大佬的套路

大佬都是晚上开始干活，他用扫shell的服务器扫到可用的webshell以后，在他这台电脑上挂上vpn，然后开始给这些网站挂暗链，（具体功能我也不清楚，因为我不是做黑帽SEO的）

然后这些网站的百度收录里面title就会变成 开发票找xxx之类的，找小jie上某某网站等等。

最后，希望这位大佬没混爱必火安全网，如果看到这文章的话，不要给我送快递，我上有老下有小的写个文章骗个稿费也不容易......