大早上就收到一封钓鱼邮件：

直接右键查看源码，发现攻击者发送邮件的域名iwobgqw.cn，对应IP：139.155.15.138（中国 四川 成都 腾讯云），通过Supermailer发送，同时还有一个QQ邮箱地址[email protected]，可能攻击者是83年11月12日出生的？

域名没有备案，但是查询whois可以获取到姓名——韩兴强：

好家伙，直接实名钓鱼啊！在微步分析域名发现为恶意地址，做个好事标记一下:

本想通过QQ邮箱找回密码获取一些信息，发现此邮箱没有绑定手机号，告辞。
继续分析附件，担心附件有问题，直接上传微步情报社区分析，显示安全：

为了安全起见，在虚拟机打开查看附件有一个二维码，截图后使用草料二维码在线解码提取域名：http://qh.xcegx.cn

这个域名对应的IP是香港地址：118.107.1.187，不过Whois信息都是同一个人，注册联系人是：[email protected]：

微步情报社区搜索结果，继续做个好人标记一下：

在虚拟机访问域名，看到钓鱼网站，胆子真大啊：

点击领取跳转到提交信息页面：

随便填写数据提交后到了另一个页面：

可以看出攻击者的目的是收集个人信息然后进行后续违法犯罪。Burp抓包看到信息提交到sfdwrn.pjnhcrf.cn，同时还有其它域名，查询Whois后得到如下信息：

• pjnhcrf.cn（52.175.18.77)——张孟超
• d03y1cn.cn（20.2.154.164)——张孟超
• xpjnczt.cn（52.175.18.77)——张孟超

通过错误信息发现网站使用thinkphp 6.1.4：


简单渗透了一波（Xray、Nuclei、Goby加各thinkphp漏洞检测工具）没发现有用的漏洞，通过搜索引擎可以检索到攻击者使用的邮箱客户端软件Supermailer，简单看了下不是部署在Web端的，要想反制可以分析下客户端软件的漏洞反向钓鱼攻击者一波，但是我不打算分析了。
先去违法和不良信息举报中心做个好事，交给国家处理：

本来以为这样就结束了，结果周一刚来就又收到一封钓鱼邮件：

邮件查看源码，还是同样的人，这次伪装成管理员给我施展连环计了。提取邮件源码中的发件人域名：alamayi.cn，IP为：124.221.23.157（中国 上海 腾讯云），Whois信息仍然是韩兴强，注册联系人仍然是[email protected]。邮箱中的链接为：http://[邮箱用户名].协同办公助手.网络/index/t8.html?err=1b473&dispatch=80&id=e7d&e=[邮箱地址]。 这么高级，居然会自动获取我的邮箱地址。访问之后是一个简陋的页面，目的是骗取受害人邮箱账号和密码：

填写的密码账号密码会提交到后台 /index/insertData。简单渗透一下发现IP被封了，用代理池扫一波没发现漏洞就没继续分析了。
搜索注册联系人邮箱域名发现是江苏威凯尔医药科技有限公司，不能是公司的人在搞黑产吧？难道邮箱被盗了？用团队的邮箱发送邮件给对方确认，等待一天无果。
最后汇总一下攻击者的信息：

根据中文域名的Whois信息可以看出，域名注册地是应该是辽宁：

目前韩兴强名下已注册53个域名，张孟超名下已注册148个域名，看样子是老诈骗犯了，辽宁警方需要给点力了。如果有认识这两位的也劝劝，坦白从宽。