浅谈一次对指定传销APP的渗透

Mr.Wu 6,184 6 正在检测是否收录...

引言

博客现在发文章发的越来越少了,很多项目都不方便公布,建个博客摆着也不知道写些什么,关了呢又感觉有些不舍,指不定哪天心血来潮又想捣鼓下博客哪个踏踏代码呢,迷茫....

同时也在纠结有没有必要将自己的思路公布出去,安全圈很小,涉网圈更小,一张重度打码的图片指不定也有人能一眼知道是哪个目标,啧啧,只能说是记忆力强大....慢慢开始理解为什么最近几年安全圈很少看到新技术思路的出现了,安全圈也卷起来了,害....

开篇

不闲扯了,简单写写某次项目的过程吧,图就不上了,就当水文吧~

客户发来一个传销 APP,需要得到数据取证,大概是十月份发来的吧,当时简单看了下情况;

前后端分离,基于海豚 CMS 二开,用的宝塔,开启了 TP 的 DEBUG,RCE不存在也打不了,后台地址改了,前台无上传,注入和 XSS 没戏,去官方下了海豚代码瞅了瞅,没什么卵用;

通过 TP 的特性漏洞得到了数据库账号密码,可惜没开启外链;

绕过宝塔拉 IP 封锁对网站目录进行扫描,想着跑个源码备份啥的,然无果;

没有做 CDN 查了下旁服和一些边缘资产,发现了几个前端服务器和几个后端服务器,完全是一模一样,毫无卵用....

发现存在独立客服站点,找到一客服账号弱口令进入客服后台,但是无法拿shell,后通过百度找到了该客服系统源码进行审计,发现确实没法,连个 XSS 都没挖到,审了个寂寞~发现一处客服后台账号泄露接口,通过该接口获取到客服后台所有账号及密文密码;

一时陷入了僵局,就没在看了,暂时放下搞别的~

柳暗花明

后面听到说某神器可以用了,遂使用该神器对目标进行了一波资产收集;

找到了好几个客服站,不过这套客服我之前审过,没戏,

找到一个他们团伙开设的另一个项目,和目标非常像,对该资产进行渗透,发现三个 admin 进入后台...

进去看了下,目测还在开发调试呢,后台也没啥数据,但是这些不影响,后台系统上传处添加上传后缀 php ,找个点直接传 php 直接秒,丝滑的一批,宝塔居然没出来打我,也是奇迹。
连上 shell 后简单看了下,上面就拿下的这个站和一个客服站,然后就没别的了,干净的一批;

然后打包该站源码下来,本地开始搭建审计;

发现个前台 token 可以伪造任意账号登陆,一处后台储存型 XSS,但是那个点管理员基本不会触发,想着顺着这条路挖个昵称处的 XSS ,结果尼玛,POST 参数 img,宝塔不拦截,非 IMG 的参数提交宝塔都要拦截,绕了半天绕不过去,太菜了,我也是第一次见到宝塔根据参数来决定拦截的情况,一脸懵,放弃,别的地方也没审出个啥,发现这代码和目标还是存在很大差异,遂审计这条路放弃

忘了说了,之前通过神器收集到了目标的后台地址,后台没有验证码和谷歌验证码之类的,也没有登陆次数限制,可以随便爆,当时想着这不是妥了嘛,结果现实很残酷,百万字典用完了都没跑出来个账号,
后面根据拿下的站点的源码发现,他后台登陆账号是检索的 账号、邮箱、手机号、三个满足其一即可,遂进行了常见如 13888888888 这类手机号进行爆破也失败,最后手动尝试邮箱的时候让我试出来一个账号:123@qq.com ,根据这个命名,又跑出来三个账号如:admin@qq.com,当时以为又稳了,结果跑了两天人麻了。

然后又想起来之前客服站收集到的后台密文,根据客服源码的加密规则,使用 hashcat 进行破解,跑了几天,服务器都快炸了,我心态也炸了,也停止了破解,这条路也不通。

技术送温暖

如上述所说,搞的头大,实在没辙了,只能拿出老办法,通过拿下的站点进行钓鱼,其实已经是最后的办法了,当时并没有报多大希望的,因为之前几个项目钓鱼被技术的智商虐哭了,害

结果把,这技术真的太贴心了,当天晚上就上线了,瞅了下电脑,要啥有啥,贼棒。

第二天到公司了详细看了下技术电脑的东西,看到后台的账号和密码当时我心态是有点炸的,为什么别人搞站都是什么123456,到我就是什么字母数字特殊符号?

通过技术电脑的服务器连接记录,得到目标服务器权限,其实这里已经可以结束了,直接连上服务器取证打包就完事的,但是又担心后期不好做司法解释,所以就想着进宝塔,通过宝塔后台一键备份更香一点,也因为这个想法,又让我折腾了半天....我这该死的强迫症~

宝塔真该死啊

你们恶不恶心宝塔我不知道,反正我是恶心坏了,十个项目九个是它,成功成为了非法网站的保护伞;

就说进宝塔这个事把,以前都是直接下载数据库,添加个账号覆盖数据库就完事了,结果这次居然不行???

看了下宝塔的代码,我只能吐槽宝塔是找不到什么更新点了嘛?吃饱了撑着加了个登陆账号 ID 限制,只会检索 ID 为 1 的账号登陆,我当时脑瓜子嗡嗡的,被这奇葩操作整不会了...

其实这里把,我们只需要把添加的账号的 ID 改成 1 ,他原本的改成 2 就可以登陆了,登陆后在改回来即可,但是我当时就很不爽,这操作很麻烦,在加上刚好看到论坛有人说宝塔出漏洞了,我就想着既然如此,就审审宝塔代码把,一边找个更轻松省事的方式登陆宝塔,一边看看能不能挖到什么 0day~

然后一下午过去了,找到个一键登陆宝塔和一键删除自己操作的日志,不算0day,需要 root,其他的洞没挖到,不过解决了一开始的问题,以后想进宝塔就方便太多了,一个 py 脚本即可解决;

然后就是取证机连上宝塔取证托库打包了;

最后来张技术电脑截图收尾吧~
浅谈一次对指定传销APP的渗透

打赏
发表评论 取消回复
表情 图片 链接 代码

  1. 桃子
    桃子 Lv 1

    fofa 引搜 不更新了呢? 快点更新呀

    • Mr.Wu
      Mr.Wu 管理员

      @桃子经历上次的公关后,fofa现在挺垃圾的,各种不给显示和各种封号,所以不考虑在引用他们的搜索引擎了,现在我个人是使用的鹰图的,鹰图是按条收费,每天一个账户免费6次,他们自己导出功能也很给力,所以就不再考虑写什么引擎搜索工具了。

  2. a
    a Lv 1

    截图的是什么软件??

    • Mr.Wu
      Mr.Wu 管理员

      @acs https://mrwu.red/fenxiang/3389.html

  3. super
    super Lv 1

    神器是啥呀

  4. 我
    Lv 1

    合作

分享
微信
微博
QQ