浅谈一次对指定传销APP的渗透

引言

博客现在发文章发的越来越少了，很多项目都不方便公布，建个博客摆着也不知道写些什么，关了呢又感觉有些不舍，指不定哪天心血来潮又想捣鼓下博客哪个踏踏代码呢，迷茫....

同时也在纠结有没有必要将自己的思路公布出去，安全圈很小，涉网圈更小，一张重度打码的图片指不定也有人能一眼知道是哪个目标，啧啧，只能说是记忆力强大....慢慢开始理解为什么最近几年安全圈很少看到新技术思路的出现了，安全圈也卷起来了，害....

开篇

不闲扯了，简单写写某次项目的过程吧，图就不上了，就当水文吧~

客户发来一个传销 APP，需要得到数据取证，大概是十月份发来的吧，当时简单看了下情况；

前后端分离，基于海豚 CMS 二开，用的宝塔，开启了 TP 的 DEBUG，RCE不存在也打不了，后台地址改了，前台无上传，注入和 XSS 没戏，去官方下了海豚代码瞅了瞅，没什么卵用；

通过 TP 的特性漏洞得到了数据库账号密码，可惜没开启外链；

绕过宝塔拉 IP 封锁对网站目录进行扫描，想着跑个源码备份啥的，然无果；

没有做 CDN 查了下旁服和一些边缘资产，发现了几个前端服务器和几个后端服务器，完全是一模一样，毫无卵用....

发现存在独立客服站点，找到一客服账号弱口令进入客服后台，但是无法拿shell，后通过百度找到了该客服系统源码进行审计，发现确实没法，连个 XSS 都没挖到，审了个寂寞~发现一处客服后台账号泄露接口，通过该接口获取到客服后台所有账号及密文密码；

一时陷入了僵局，就没在看了，暂时放下搞别的~

柳暗花明

后面听到说某神器可以用了，遂使用该神器对目标进行了一波资产收集；

找到了好几个客服站，不过这套客服我之前审过，没戏，

找到一个他们团伙开设的另一个项目，和目标非常像，对该资产进行渗透，发现三个 admin 进入后台...

进去看了下，目测还在开发调试呢，后台也没啥数据，但是这些不影响，后台系统上传处添加上传后缀 php ，找个点直接传 php 直接秒，丝滑的一批，宝塔居然没出来打我，也是奇迹。
连上 shell 后简单看了下，上面就拿下的这个站和一个客服站，然后就没别的了，干净的一批；

然后打包该站源码下来，本地开始搭建审计；

发现个前台 token 可以伪造任意账号登陆，一处后台储存型 XSS，但是那个点管理员基本不会触发，想着顺着这条路挖个昵称处的 XSS ，结果尼玛，POST 参数 img，宝塔不拦截，非 IMG 的参数提交宝塔都要拦截，绕了半天绕不过去，太菜了，我也是第一次见到宝塔根据参数来决定拦截的情况，一脸懵，放弃，别的地方也没审出个啥，发现这代码和目标还是存在很大差异，遂审计这条路放弃

忘了说了，之前通过神器收集到了目标的后台地址，后台没有验证码和谷歌验证码之类的，也没有登陆次数限制，可以随便爆，当时想着这不是妥了嘛，结果现实很残酷，百万字典用完了都没跑出来个账号，
后面根据拿下的站点的源码发现，他后台登陆账号是检索的 账号、邮箱、手机号、三个满足其一即可，遂进行了常见如 13888888888 这类手机号进行爆破也失败，最后手动尝试邮箱的时候让我试出来一个账号：123@qq.com ，根据这个命名，又跑出来三个账号如：admin@qq.com，当时以为又稳了，结果跑了两天人麻了。

然后又想起来之前客服站收集到的后台密文，根据客服源码的加密规则，使用 hashcat 进行破解，跑了几天，服务器都快炸了，我心态也炸了，也停止了破解，这条路也不通。

技术送温暖

如上述所说，搞的头大，实在没辙了，只能拿出老办法，通过拿下的站点进行钓鱼，其实已经是最后的办法了，当时并没有报多大希望的，因为之前几个项目钓鱼被技术的智商虐哭了，害

结果把，这技术真的太贴心了，当天晚上就上线了，瞅了下电脑，要啥有啥，贼棒。

第二天到公司了详细看了下技术电脑的东西，看到后台的账号和密码当时我心态是有点炸的，为什么别人搞站都是什么123456，到我就是什么字母数字特殊符号？

通过技术电脑的服务器连接记录，得到目标服务器权限，其实这里已经可以结束了，直接连上服务器取证打包就完事的，但是又担心后期不好做司法解释，所以就想着进宝塔，通过宝塔后台一键备份更香一点，也因为这个想法，又让我折腾了半天....我这该死的强迫症~

宝塔真该死啊

你们恶不恶心宝塔我不知道，反正我是恶心坏了，十个项目九个是它，成功成为了非法网站的保护伞；

就说进宝塔这个事把，以前都是直接下载数据库，添加个账号覆盖数据库就完事了，结果这次居然不行？？？

看了下宝塔的代码，我只能吐槽宝塔是找不到什么更新点了嘛？吃饱了撑着加了个登陆账号 ID 限制，只会检索 ID 为 1 的账号登陆，我当时脑瓜子嗡嗡的，被这奇葩操作整不会了...

其实这里把，我们只需要把添加的账号的 ID 改成 1 ，他原本的改成 2 就可以登陆了，登陆后在改回来即可，但是我当时就很不爽，这操作很麻烦，在加上刚好看到论坛有人说宝塔出漏洞了，我就想着既然如此，就审审宝塔代码把，一边找个更轻松省事的方式登陆宝塔，一边看看能不能挖到什么 0day~

然后一下午过去了，找到个一键登陆宝塔和一键删除自己操作的日志，不算0day，需要 root，其他的洞没挖到，不过解决了一开始的问题，以后想进宝塔就方便太多了，一个 py 脚本即可解决；

然后就是取证机连上宝塔取证托库打包了；

最后来张技术电脑截图收尾吧~