返回首页

使用 Nmap FFUF 调查钓鱼网站 begini.ltd

安全研究员剖析钓鱼方案 begini.ltd:从使用 Infinite Approval 的 Pig Butchering 到 Nmap/FFUF 扫描。发现 PHP 端点、非标准端口和 Cloudflare。Abuse-report 导致基础设施封锁。

钓鱼曝光:从 Reddit 到 Cloudflare 封锁
Advertisement 728x90

揭秘伪装成交易学院的钓鱼骗局:从Reddit到滥用报告

一名初级安全研究员在Reddit上发现了一个关于可疑“交易教育”骗局的帖子,受害者被诱骗进行小额交易,随后骗子试图盗取其资金。调查目标是审计网站begini.ltd,收集其基础设施证据,并启动下架程序。使用的工具包括Kali Linux(Nmap、FFUF)、OSINT和Revoke.cash。

该骗局是典型的“杀猪盘”诈骗:

  • 诱饵:虚假工作机会或“免费培训”。
  • 预热:转移小额资金以模拟盈利。
  • 陷阱:显示请求无限授权(ERC-20 Approve)的屏幕,授予骗子对钱包代币的无限访问权限。

前端分析:数据钓鱼

在网站的源代码中,发现了一个注册表单:

Google AdInline article slot
<form class="register-form" action="send.php" method="POST">

该表单通过POST以明文形式将全名、电话号码和Telegram账号发送到send.php。服务器响应302状态并立即重定向,以最小化受害者在页面上的停留时间。

在Network Tab(F12)中,cf-cache-status和cf-ray等标头表明使用了Cloudflare。数据收集未加密——典型的“数据收割器”。

主动侦察:Kali Linux上的Nmap和FFUF

转向Kali Linux工具进行端口扫描和目录模糊测试。

Google AdInline article slot

Nmap:端口和服务

nmap命令显示:

  • 端口80(HTTP)和443(HTTPS)开放。
  • 证书由Cloudflare Inc ECC CA-3于2026年2月签发。
  • 端口8080和8443存在异常——可能是管理面板或代理。

横幅抓取显示“Crypto Trading Academy 2025”——在2026年已过时的模板。

FFUF:目录模糊测试

ffuf模糊测试器发现:

Google AdInline article slot
  • success.php(200,约5KB)——一个带有JS脚本用于重定向的“终端”。
  • PHP端点,确认了PHP后端。
  • 被阻止的/admin/和/config/目录(来自Cloudflare的403响应)。

基础设施是标准的PHP钓鱼工具包,位于Cloudflare之后,具有非标准端口和仓促设置的迹象。

提交滥用报告和下架

整理了一份档案:截图、网络日志、Nmap/FFUF结果。向Cloudflare提交了报告(报告ID:6d27e144bc7f8061)。收到事件确认,基础设施开始被下架。

关键要点:

  • ERC-20中的无限授权是代币盗窃的主要途径;通过Revoke.cash检查权限。
  • Cloudflare不会自动阻止钓鱼——滥用报告是有效的。
  • 异常端口(8080/8443)常揭示钓鱼工具包中的管理面板。
  • FFUF和Nmap是逆向诈骗基础设施的基本工具栈。
  • 过时的模板(横幅中的年份)是大规模活动的标志。

给中级/高级专家的建议

审计类似骗局时:

  • 使用FFUF配合common.txt等词表进行目录测试。
  • 使用Nmap的-sC -sV参数进行脚本和版本检测。
  • 检查网络中的明文流量。
  • 记录cf-ray以便在滥用报告中追踪。

总证据超过10MB的截图和日志,加速了服务提供商的响应。

— Editorial Team

Advertisement 728x90

继续阅读