繼續聊聊夢裡的那點事兒(下)
- 2019 年 10 月 4 日
- 筆記
0x05 弱口令是個好東西
突然有這麼多目標,一時間不知從哪下手,這個時候直覺告訴我,機關單位站點也許是突破口。
經驗告訴我,此類網站的管理員往往缺乏安全防護意識。比較容易下手的一般是職能比較偏僻、群眾一般不會接觸到,但確實存在的網站,這些網站可能沒有域名,僅有一個ip地址,所以往往需要掃c段,或者掃某個大站的ip埠才能發現。
接下來首先是根據放出來的目標,找到一個具有較多下屬單位的目標。
然後就是最重要的資訊收集:
根據關聯性,先收集域名,比如某單位的域名是:xxx.com。
先收集子域名,用在線的子域名爆破工具,或者跑腳本比如lijiejie的腳本。
列好子域名之後查找主域名和子域名對應的IP地址。
然後通過這些IP地址反查域名(旁站)以及不同埠開放的網路服務。
反查域名之後可以發現某些ip對應的都是機關單位站點,那麼可以用這些ip去跑C段。
當然這樣也可能落下一些偏僻的站,這時候可以用Google語法,在線收集一波。
正好最近新了解了一個網路空間引擎叫fofa,便用了一下,發現效果不錯,收集資產的時候起了蠻大的作用,相同ip查到的站比zoomeye多,不過沒有會員只能查看前5頁……
fofa跟zoomeye各有長處吧,可以都嘗試一下。
經過上面的一波收集,手裡掌握了大把的站,一個一個試也不太現實,然後有兩個方案,一個是批量查詢訪問量,然後找到從訪問量較低的站開始下手,邊緣資產嘛,肯定訪問的少的沒什麼人知道的才算得上邊緣資產~~,當然這是我這種菜鳥做的事,大佬可以直接硬肛門戶。
還有一個方案呢就是批量跑後台然後爆破弱口令,可以分開實現,把常見的後台生成字典,然後腳本跑一波上面收集到的資產。
先把容易找到後台的提取出來,然後分出有驗證碼識別的和沒有驗證碼識別的;沒有驗證碼的比較好爆破,直接把常見的admin、admin123、123456、88888之類的跑一遍,如果這些基本的弱口令和默認密碼沒有碰到就不用浪費時間繼續爆破了,反正是批量搞,只要有幾個能進去就可以接著深入。
有驗證碼的可以手動測試或者用工具識別爆破,麻煩一點,根據深度優先的思想,如果無驗證的後台實在跑不出來再嘗試有驗證碼的。
弱口令是個好東西,真的,這個是基於人性懶惰的弱點,而不是程式的漏洞,總會有管理員懶得改默認密碼,或者簡簡單單設置個666666,除非強制逼著他修改,而且得必須設置有大小寫數字和符號的密碼,才有可能解決大部分的弱口令,根除還是很難的。
在這次演習中我就遇到了上面兩種情況,同樣是zf站,一種是完全不改默認密碼,或者把admin改成了123456,還有一種就是整個政務oa系統都用了強制密碼檢測,強迫管理員修改成高強度密碼的。這個後面會提到,為此我還搞了一波釣魚……
這節的標題是「弱口令是個好東西」,沒錯,按上面的一波操作後,我進了不少後台~
比如下面這個:
看起來平平無奇,像是得罪了前端一樣,但實際上卻是某影片會議系統的後台,還是挺重要的,不過管理員可能以為我們找不到,所以就沒改密碼,然後我就進來了,輕輕地,悄悄地。
進去之後發現這其實是個很重要的系統,裡面可以遠程關閉重啟影片伺服器;會議日誌存在大量會議資訊包括會議參與人員等;泄露了管理員帳號和密碼哈希,可以伺服器日誌進行下載;可對備份資料庫進行脫褲等等……
而且最重要的是還能接入影片系統,查看每個影片會議室,也就是說可以直播觀看領導們開會,還可以給老鐵們喊666,這可太危(刺)險(激)了,趕緊寫報告先交了再說。
Ps:當我做夢之前,文中提到的漏洞就已全部修復了,點個贊。
0x06 社會工程學可不簡單
上一節提到了有兩種情況,一種是完全不改默認密碼,或者把admin改成了123456,還有一種就是整個政務oa系統都用了強制密碼檢測,強迫管理員修改成高強度密碼的。
這節就來說說我遇到的第二種情況,在演練中,我發現了某部門存在網站站群,用了一套很新的oa系統,該部門的所有下屬部門的門戶網站都是這套系統,而且是該部門網站的子域名。
我簡單測試了一下,發現安全性非常好,一體化建設程度很高,後台不存在弱口令,整個oa系統也沒有發現sql注入xss等,所以硬肛不是辦法。
所以我決定走社工的路子。
在後台登陸介面上,有一則資訊:
上面寫了站群的應用群,於是我就搜索了一下這個群,偽造身份混了進去。
偽造身份是個值得注意的地方。
首先肯定不能用大號,大號涉及的資訊太多,不便於偽裝,而且如果暴露容易被追蹤;
所以要使用一個小號,但這個小號不能太新,太新也容易暴露,所以平日要養幾個常用的小號,或者去某些途徑買。
之後要做偽裝,以qq號為例子,首先要確定加的是什麼群,裡面有什麼人,我要以什麼身份進去。
比如我們要進這個網站應用群,進群需要回答問題:寫明地區單位和姓名
這個時候就要調查一番,這個網站對應部門的一些基本設定,比如管轄區域、下屬有哪些地方部門、這些地方部門的主要人員的職位和名稱等等。
這個可以到對應的官網去查。比如這個站群對應的某某廳下屬有十幾個市級的某某局,然後我找了一個地級市的該局,通過官網資料和google搜索到了一些關於該局的資訊。
然後我選擇一名大概三十多歲的女性職員作為我偽裝的目標,我借用了她的名字和這個單位。接下來還有給這個人物對應的qq做偽裝,偽裝的最好方法就是找到一個跟目標年齡工作以及可能的性格相近的好友,模仿她的表現,來偽裝,這樣就會足夠真實。
某些設殺豬盤的詐騙團伙就是使用這種方法偽裝身份,借一個真實的身份過來,已達到真實可信的欺騙,而且這些團伙會廣泛交友,平日里不會給你發任何消息,只是悄悄潛伏,偷取你的動態資訊。實在可惡,各位平日也要小心謹慎呀。
接著回來,我找了QQ列表中的一位同樣三十多歲的女性高校職員作為我的模仿對象,我把頭像、簽名和一些動態借鑒了過來,然後把qq資料按照目標人物的大概資訊進行偽裝。
這樣我混進了這個QQ應用群。
進來之後,我迅速查看了下成員列表,看看我偽裝的人物是否在群中,如果真李逵和假李鬼相遇可就尷尬了……
看了一番並沒有,然後我開始查看群文件。
一看發現資料還真不少,有幾十個大大小小的各類文件,包括OA系統的使用手冊,培訓人員名單、網站防護情況等等。
而且根據資料來看這個系統大概是16年開始應用,17年永久下線網站整合遷移把原來各地方網站關停之後重新整合放到了一個主站上,18年進行了重新升級。
從管理和檢查的角度來看遷移整合之後確實方便了不少,但也帶來了一個問題就是,如果一個站點被攻破了,那麼可能整個站群就都被拿下了。
當然我是沒這個技術QAQ。
又細細看了一下其中的資料發現我的確拿不下來這個站。
但是我拿到了幾百個相關人員的名單資訊,可以根據這個來一波釣魚計劃。
然後又問了一下裁判組,裁判組說可以釣魚不過需要報備,我們簡單報備了一下,就開始了接下來的行動。
魚兒魚兒快上鉤
首先打算的是郵箱釣魚,因為在一個群里,有所有人的qq和郵箱,所以先考慮郵箱釣魚。
當時找了一些國外的偽造郵箱服務,不過效果不好,基本發送不到,後來決定用swaks來偽造郵件。
swaks的用法都有師傅發過在freebuf上,比如:
不過我只學了個皮毛,sina的能過,qq的進了垃圾箱qaq。
(給自己的帳號發了一下,進了垃圾箱,郵件內容是內心感受)
工具不行我決定使用我的小號(就是滲透進qq群的那個小號),先修改群備註和qq昵稱,設置為有迷惑性的名稱比如:資訊管理處-小李,因為不能修改顯示發件人所以盡量偽裝的要像一個管理人員。
之後構建釣魚網站,把後台頁面下載下來,然後修改一下源碼,去掉了驗證碼,並且把帳號密碼post到我們的伺服器上。
但是沒有域名,只有ip地址,所以在郵件內容上,我們以測試頁面來作為掩蓋的借口,但也沒過多解釋,如果有條件弄個更真實一點的臨時域名還是好一點。
釣魚頁面弄得差不多了,接下來就是測試發送效果,給大號發了個郵件,發現沒收到,仔細一看原來又進了垃圾箱。
思考了一下,感覺可能是附帶了超鏈接,被反釣魚機制檢測到了,還有可能是郵件中提到了機關單位的字眼觸發了反釣魚機制。
之後又試了別的姿勢,發現還是不能正常投遞,讓人很頭痛。
到這,我深思了一下,打開了紅警·共和國之輝。
打開了之前在群里獲取的培訓名單,上面有相關人員的姓名,性別,職位和手機號。
沒錯,我準備從手機號入手。
大家平時肯定有收到垃圾簡訊的時候,什麼時時彩、+V看片之類的:
搞這種灰產的一般業務門檻比較低,不會要求太多,一般給錢就能發,於是我就找了個類似的簡訊分發商,當時我打的名頭是:單位通知。
加了對方的微信,簡單聊了一下,下面是夢裡的一段對話,有的地方夢醒就記不清的,見諒~
小姐姐:您好,請問您需要什麼樣的服務?
靚仔:就是那種,你知道的,是那種,很少見那種。
小姐姐:不用不好意思的,先生,我們是受過專業訓練的。
靚仔:就是那種,那種給單位發通知的那種簡訊,有嗎?
小姐姐:(噗呲)
小姐姐:對不起先生,您剛剛說什麼,我沒聽清(笑)。
靚仔:我發的文字又不是語音,怎麼會沒聽清?
小姐姐:先生,您真的不用不好意思,我們真的是專業的 ,什麼都可以的。
靚仔:就是那種,你知道的,單位通知,知道嗎,不是專不專業的問題,我知道它是那種,很少見那種,但我的確要發通知。
小姐姐:那好吧,請問您需要發什麼通知呢?
靚仔:是這樣的,我們單位要給下面的客戶發個通知消息,因為只有手機號,發簡訊我一個人也弄不過來,就準備讓你們幫我發一下。
小姐姐:好的先生這個沒問題,請問您是什麼單位呢?
靚仔:我是xx省資訊中心的。
小姐姐:機關單位?
靚仔:可以這麼說吧。
小姐姐:告辭。
靚仔:別啊,我真是找你們談業務的。
小姐姐:那你有什麼證明嗎?
靚仔:那你需要什麼證明?
過了良久,我猜她應該去找上級諮詢去了……
小姐姐:那你們的營業執照有嗎,給我看看。
靚仔:
靚仔:你知道事業單位是沒有營業執照的嗎?
小姐姐:事業單位也有營業執照的,你要是沒有就證明不了。
靚仔:朋友,事業單位不是盈利性單位,沒有營業執照,只有法人證明。
又是良久,又去百度了一波————
小姐姐:那你把法人證明給我看下。
靚仔:我就是個技術人員,上哪給你弄法人證明去?領導讓我發個通知,我還要找領導要法人證明?我還混不混了。
小姐姐:emmmmmm
靚仔:這樣吧,我給你看下我們的備案證明,上面是有公安部認證的。
然後我掏出了在群里找到的資訊系統等級保護備案證明。
小姐姐:emmmmmm。
靚仔:如果這樣都證明不了的話,那我也沒辦法了,告辭,我換一家。
小姐姐:那好吧,請問你需要發什麼內容?
靚仔微微一笑,發了過去。
靚仔:大概是這個內容,我先發五十條,看下效果,如果效果好,以後就指定你們家發通知了。
小姐姐:好的呢,先生。
靚仔:對了,能開發票吧,我這邊報銷的話可是需要正規發票的。
小姐姐:可以的,我們有正規發票的,您想開多少都行。
對話到此就結束了,哪有報銷呀,其實就是想讓他們更確信我不是壞人。
畢竟搞他們這個雖然說弄得垃圾簡訊滿天飛,但也怕官方認真起來查下去把他們端了,所以還是非常謹慎的。
然後就免費發了50條釣魚簡訊,我把我的手機號也發給了他們,確實收到了簡訊,效果看起來還可以,把【xx資訊中心】設置到了簡訊開頭,顯得更正式。
為啥只發50條呢,一是怕打草驚蛇,二是五十條是免費的qaq。
然後就是漫長的等待。
在等待之餘,我想打一把酣暢淋漓的CTF,雖然我是開小賣部的。
深一點再深一點
但因為沒有電競椅,我決定還是再擼個站。
在之前,挖掘邊緣資產的時候,我們發現了很多邊緣性的站,它們大多沒有域名,它們埠總不是80,它們少有防護,它們的管理員可能也不太行。
所以是入手的最佳選擇。
萬千之中,我只選擇了你,不是因為你綠的讓人原諒,知識我熱愛環保。
號稱中國首家自主知識產群的群件平台,讓我感覺不可小覷,
結果輸入admin/admin隨便一試,果然不是弱口令。
不過它多多少少還是給了我點提示,管理員的確有admin
可能這是個ai平台,根據入侵者的水平來給予不同的提示。
(呸,你以為是打hack game)
然而我是不會放棄的,祭出我的掃描器,爆了一波路徑,
嘿嘿(窩窩頭配音)
找到了phpmyadmin
版本還是2.6.3
這就可以試一下通用密碼漏洞
『localhost』@』@』』
果然進去了
不過沒有許可權,什麼都做不了
然後又試了一下root 空密碼,成功
接下來寫馬,
路徑是通過路徑泄露找到了phpinfo得知真實物理路徑。
然後蟻劍連接:
成功getshell,到這忽然想到網站後台還沒進去,就回到phpmyadmin檢索了一下各個庫,發現了管理員和後台辦公員工的帳號密碼,不過密碼是加密碼的,還不是普通md5加密,而是自己定義的一種加密。
既然是自己定義的加密,其加密演算法就一定在某個文件里寫著,然後我們看了一下文件目錄,在password.php中獲得帳號密碼的位置及其加密函數,然後在include/func.php在線zend解密文件,找到b_decode函數,最後解密得到密碼。
然後成功進入後台:
其實都拿到許可權了,進不進後台無所謂了,進來只是好奇~
然後返回蟻劍
接著打開虛擬終端查看許可權:
發現是daemon許可權,需要提到root
看了下內核版本,試了一下溢出提權,不成功
SUID提權不成功,想了一想決定用DirtyCow臟牛
然後操作了一番,新建用戶,提取成功。
提權之後準備橫向探測一下……
發現字數已經5k了,太臃腫了,就寫到這吧。
寫這篇文章就是想給大家簡單介紹下這個模式以及分享些許經驗,我也只是個剛上幼兒園的小萌新,而且文中都是夢裡所見所為,沒有雷同~
夢做的差不多了,該起床上幼兒園了。
就醬。
在夢裡,
我曾見過81192翱翔於天際
在夢裡,
我曾見過異國網路也飄揚著五星紅旗
後來我醒了,
81192消失在夢裡,
但卻有553航於碧藍大海
後來我雖未見白宮掛著紅色的旗,
但我始終知道有人在看不見的地方一次又一次回擊
終於我們也看到了花團錦簇,我們也知道了燈彩佳話
那一夜,我也曾夢見百萬雄兵
Ps:據前幾日午間新聞報道,香港著名本地論壇Lihkg遭到大規模網路攻擊。
據小道新聞稱,在lihkg伺服器某目錄下發現一新創建的文本文件,內容為gdqs。
*本文作者:Pannet,轉載請註明來自FreeBuf.COM
