Auteur Sujet: Phising - PHP  (Lu 2292 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne _john_doe

  • Contributeur de Kali-linux.fr
  • Membre VIP
  • *****
  • Messages: 606
  • +36/-5
Phising - PHP
« le: 11 juin 2017 à 20:19:23 »
Bonjour à tous,
Ce matin en ouvrant ma boite mail j'ai eu le plaisir de découvrir un joli mail de Phishing.
Etant d'humeur enjouée aujourd’hui j'ai décidé de décortiquer un peu ce mail.
concernant l'adresse mail en elle meme, rien de bien exploitable. si ce n'est que mon phisher passe par le serveur de messagerie de l'université de Cergy-Pontoise : quinze-vingts50116075507416799@webmail.u-cergy.fr
Il est donc soit étudiant à Cergy (ce dont je doute), soit il passe par leur serveur de messagerie. (j'enverrais un petit mail à l'administrateur de ce serveur de messagerie au cas ou).

Coté code HTML du message à proprement parlé, rien de tres surprenant, le code phising de redirection facilement trouvé :
<a href="http://eawwt.com/install.php" target="_blank" rel="noopener noreferrer">
<button type="button" class="x_btn x_btn-danger">Démarche de validation</button></a>

1er constat, ce bouton redirige vers eawwt.com, qui apres recherche est un site enregistré il n'y a pas tres longtemps.
Aucune trace de ce site sur le net, aucun Référencement par les moteurs de recherche traditionnels, et un WHOIS me donne un administrateur avec une adresse GMAIL, etrange.....
Je penche pour dire que ce site est exclusivement dédié au phishing, et n'est pas un site "clean" dont un hacker aurait pris le controle.
Pour ceux que ca interesse l'url en question : http://www.eawwt.com (notez le HTTP et non pas le HTTPS.....)

2eme constat : ET C'EST LA QUE JE VAIS AVOIR BESOIN DE VOS LUMIERES LES GARS ! La redirection renvoie directement vers un script PHP ("http://eawwt.com/install.php")
Je ne m'y connais pas encore suffisament en php pour pouvoir creuser plus loin.
Y a t'il un moyen de faire tourner ce code PHP de cette page sans prendre le risque de se choper un exploit ?
J'envisage de le visiter via une VM, bonne idée ou pas ?

En fait cette page de phishing m'interpelle dans le sens ou je m'attendant à une redirection vers un site d'ameconnage et ensuite je m'attendais a decouvrir une jolie page web avec saisie d'identifiant et MDP qui irait alimentait ensuite un fichier post.php. et non pas un script php direct (qui s'appelle en plus "install")
Merci pour vos conseils éclairés.

Hors ligne WK

  • Contributeur de Kali-linux.fr
  • Membre régulier
  • *****
  • Messages: 188
  • +19/-1
Re : Phising - PHP
« Réponse #1 le: 12 juin 2017 à 00:56:17 »
A mon avis ce n'est pas un exploit à proprement parler mais plus une de ces multiples merde de spyware qui traine..

Hors ligne storm222

  • Membre Junior
  • *
  • Messages: 39
  • +1/-0
Re : Phising - PHP
« Réponse #2 le: 01 août 2017 à 01:11:20 »
Hello,

Je répond tardivement à ton post mais je suis peu présent sur ce forum car j'ai pas mal de boulot :(

Je comprends bien que la personne veut te rediriger vers le install.php.
Avec le lien que tu as donné, j'ai regardé sur le site, et on peut avoir accès au contenu de ce install.php :

<html>
<head>

<title>Free Mobile</title>

<meta http-equiv="refresh" content="0; URL=https://www.gitep.com.ar/fotos/9/am/">
</head>

<body>
</body>

</html>

On voit bien qu'il manque le DOCTYPE !!

Nan plus sérieusement, une nouvelle redirection vers cette fois-ci gitep.com.ar
Le lien n'existe plus et en remontant dans le répertoire foto, on y trouve que des photos, rien de bien fou donc !
Je sais pas si le repertoire "am" a été supprimé entre ton post et mon message ...