首页
论坛
课程
招聘
[原创]大表哥操作失误“黑入”盗号哥的服务器,竟有价值20W账号?吓傻!
2018-8-27 17:43 19466

[原创]大表哥操作失误“黑入”盗号哥的服务器,竟有价值20W账号?吓傻!

2018-8-27 17:43
19466

0x00 概述

近日,陕西、贵州、江苏、重庆等地网吧出现steam盗号事件,我们在网吧环境捕获了该盗号样本

样本作者的水平似乎不高,整个样本是由易语言编写,通过一个exe进行远程线程注入,注入一个payload dll到steam进程,dll再hook SteamUI.dll中TextEntry控件相关的函数。

盗号哥的朋友还把一些疑似源码的东西发到了某论坛上,这里留个pdf备份(已放附件123.pdf)



源码截图:


0x01 分析


pchunter可以很轻松找到钩子


钩子里面跳转到样本SteamDll.dll







懒得看他怎么拿到密码的,反正从钩子位置看是从steamui的TextEntry控件的某个函数里取的


0x02 渗透


盗号哥居然使用了明文FTP的方式上传盗来的账号



登上去看了下,这FTP还兼职当网页




里面全是账号密码





从盗号的payload dll中可以直接找到盗号者的QQ






比较搞笑的是盗号哥居然把网页账号密码直接写到php文件里了




登进他的网站看一看


截至发帖时盗号哥已经收集了2000个账号,按98一个号算,他已经盗了价值20W的号了







盗号哥服务器上的东西我已经帮他全部清了,他的ftp是119.188.248.121 账号qq9420986,密码是4316c992a3,有兴趣的可以上去玩玩(这个从steamdll.dll样本里可以直接提取)

0x04 总结

在网吧登录自己的steam号是非常不安全的。虽然该样本是从控件里拿的账号密码,可以通过call steamclient!SendClientLogon来绕过控件盗号,但是在steam登录协议基本等同于明文的情况下, 依然不能保证不被别的方式(比如给steamclient下钩子,甚至截取UDP登录包并解密)盗号。

安卓应用层抓包通杀脚本发布!《高研班》2021年3月班开始招生!

上传的附件:
收藏
点赞2
打赏
分享
打赏 + 1.00
打赏次数 1 金额 + 1.00
 
赞赏  junkboy   +1.00 2018/08/27
最新回复 (57)
雪    币: 431
活跃值: 活跃值 (287)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
はつゆき 活跃值 2018-8-27 17:44
2
0
沙发
雪    币: 2514
活跃值: 活跃值 (186)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
FANTASYING 活跃值 2018-8-27 17:46
3
0
1楼
雪    币: 6144
活跃值: 活跃值 (307)
能力值: ( LV5,RANK:68 )
在线值:
发帖
回帖
粉丝
万剑归宗 活跃值 1 2018-8-27 17:47
4
0
前排围观
雪    币: 141
活跃值: 活跃值 (69)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
Crimilals 活跃值 2018-8-27 18:02
5
0
围观大表哥
雪    币: 2821
活跃值: 活跃值 (168)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
软绵绵 活跃值 2018-8-27 18:07
6
0
流弊得不要不要的.
雪    币: 3956
活跃值: 活跃值 (275)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
战马 活跃值 2018-8-27 18:10
7
0
大表哥就是厉害
雪    币: 404
活跃值: 活跃值 (243)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Thead 活跃值 2018-8-27 18:32
8
0
大表哥你这操作令人窒息,那哥们估计心都碎了
雪    币: 42
活跃值: 活跃值 (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
DeepFantasy 活跃值 2018-8-27 19:26
9
0
mark
雪    币: 5638
活跃值: 活跃值 (460)
能力值: ( LV17,RANK:1185 )
在线值:
发帖
回帖
粉丝
holing 活跃值 15 2018-8-27 19:33
10
0
黑客黑客
雪    币: 153
活跃值: 活跃值 (410)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
fengyunabc 活跃值 1 2018-8-27 19:34
11
0
大表哥厉害了!
雪    币: 54
活跃值: 活跃值 (130)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
accessdenied 活跃值 2018-8-27 21:29
12
0
大表哥 这样真的好吗 
雪    币: 2910
活跃值: 活跃值 (521)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
syser 活跃值 2018-8-27 23:19
13
0
不愧是大表哥
雪    币: 3760
活跃值: 活跃值 (381)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
沉迷于 活跃值 2018-8-27 23:23
14
0
已报警
雪    币: 396
活跃值: 活跃值 (306)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
KooJiSung 活跃值 2018-8-28 00:12
15
0
98一个号? 帐号的价值在哪里呢?
雪    币: 583
活跃值: 活跃值 (103)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
supersoar 活跃值 2018-8-28 01:06
16
0
大表哥你这么搞不怕被盗号哥 报复吗  逃
话说 估计盗号哥 是做挂的。
雪    币: 2473
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PYGame 活跃值 2018-8-28 02:00
17
0
比较关注盗号哥如何在无盘环境下马的
雪    币: 9630
活跃值: 活跃值 (2200)
能力值: ( LV9,RANK:260 )
在线值:
发帖
回帖
粉丝
hzqst 活跃值 3 2018-8-28 08:46
18
0
PYGame 比较关注盗号哥如何在无盘环境下马的
这个方式很多啊,比如把东西发下给网管让网管帮忙装,或者利用各种0day漏洞之类的。。。不过根据只有特定的几个网吧中枪的现象来看,应该是前者的可能性高一点
雪    币: 1270
活跃值: 活跃值 (80)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
八岛 活跃值 1 2018-8-28 10:13
19
0
社会社会
雪    币: 3130
活跃值: 活跃值 (96)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
V1NKe 活跃值 2 2018-8-28 10:23
20
0
黑客黑客
雪    币: 5339
活跃值: 活跃值 (404)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
xie风腾 活跃值 2018-8-28 10:29
21
0

做坏事,不用负责的吗
雪    币: 15
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
蛇吻、 活跃值 2018-8-28 11:18
22
0
唔,这人联系过我。
雪    币: 1007
活跃值: 活跃值 (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wsadzxc 活跃值 2018-8-28 13:11
23
0
这些人steam不绑令牌吗?
雪    币: 8669
活跃值: 活跃值 (477)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
cvcvxk 活跃值 10 2018-8-28 13:43
24
0
窒息的操作,明天来我们公司上班吧,大表哥

最后于 2018-8-28 13:43 被cvcvxk编辑 ,原因:
雪    币: 5099
活跃值: 活跃值 (348)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
yimingqpa 活跃值 1 2018-8-28 14:06
25
0
大表哥操作失误练出鲲。
游客
登录 | 注册 方可回帖
返回