記一次曲折的釣魚溯源反制
0x00 故事起因
這天風和日麗,我正在摸魚,忽然QQ群彈出一條消息,我打開一看,我感覺不簡單。如下圖
掃碼后發現跳轉到了QQ郵箱登陸界面,確定為釣魚網站,看到其域名為http://****kak2.cn。
這里隨便輸入,頁面跳轉到如下界面。
好家伙,小伙子你挺會玩啊,收集完QQ郵箱賬號密碼,再來收集一波個人信息,做人不能太貪心啊。開始干活!
0x01 溯源釣魚者
我們現在拿到了他的域名,現在收集一下域名的相關信息。使用站長工具,如下圖。
可以查到域名注冊人的姓名和郵箱。郵箱顯示不全,這里再通過微步來進行一下查詢。如下圖
這里有兩點可以關注一下,這里拿到了完整的郵箱和知道了這里是阿里云的。
進行一下郵箱反查,發現該郵箱下在五六月份注冊多個域名,姓名都是劉xx,大概率都是用來釣魚的。
嘗試添加QQ,發現查不到這個人,這就尷尬了。
關于釣魚者的信息收集就告一段落,接下來開始干它網站。
0x02 進攻釣魚網站
之前我們拿到了域名,現在對網站進行滲透,那思路是什么呢?我們可以進行一下子域名、目錄等掃描,如果沒什么信息,那就開始對釣魚網站本身看看有沒有能利用的地方。
首先進行一下子域名掃描,沒什么發現,如下圖:
然后開始對域名進行一下目錄掃描,如下圖
掃出來的目錄,基本沒有權限,都是403。沒什么利用的點。
現在看來只能對網站本身進行一下滲透了,看看有沒有能夠利用的。現在打開收集個人信息的表單,按F12看看有沒有我們值得關注的,如下:
之前目錄掃描發現了uploads目錄但是沒有權限,這里找到了uploads/ads路徑,嘗試一下這里路徑后端是否接收文件,構造上傳數據包,發送數據,還是失敗了。如下:
不要灰心,接著搞,我們還發現這里使用了form表單提交數據,然后自定義了一個函數chk(),現在我們跟進這個函數去看一眼。如下
在這里我們能夠了解到,網站使用了ajax來進行數據傳輸,將數據提交到了本站的wap目錄,然后身份證號碼進行了一下簡單的正則判斷,規定輸入為數字且位數為18位。
既然是將數據提交到本站了,那么如果釣魚者再后端接收數據時直接將參數拼接到SQL語句中,那么就可能存在SQL注入。
現在我們構造數據,提交數據,然后抓取數據包來進行測試,抓取的數據包如下:
接下來開始測試是否存在SQL注入,name參數后添加單引號,發送數據,發現報錯,存在SQL注入!
猜解一下數據庫名,數據庫版本,構造payload
'and updatexml(1,concat(0x7e,(select database()),0x7e),1)%23 'and updatexml(1,concat(0x7e,(select @@version,0x7e),1)%23
數據庫名是a7,猜解一下表名,構造payload如下
'and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='a7')),0)%23
發現無法獲取表名,我有一種不詳的預感。
果然換用一些其他的函數,發現也是無法獲取表名,可能是沒有權限。真讓人傷心,這個老六。
現在用sqlmap跑一下吧,結果如下
只能跑出來a7這個數據庫,information_schema這個庫獲取不到,怪不得手工注入也拿不到表名呢。唉,現在嘗試一下os-shell吧,看看有沒有運氣。如下
看來運氣并不好,失敗了。不過,雖然失敗了,但是我們也知道了現在的服務器系統為Linux,并且有了路徑,我們就把它當成絕對路徑吧,死馬當活馬醫,看看能不能寫入文件,構造payload:
into outfile '\\www\\wwwroot\\p******7.a******ka.cn\\config\\wap\\test.php' FIELDS TERMINATED BY ''%23
結果如下,還是失敗了。
又嘗試了一些其他的方法,發現收獲不大。
0x03 峰回路轉
真的拿不下它服務器了嗎?我不信,晚上的時候,事情迎來了轉機,當時我正在劃水,一條好友申請打破了平靜,當我同意時,大哥人狠話不多,直接URL和賬號密碼發了過來,包括源碼的壓縮包也掃出來了。在這里給大師傅遞根煙。
這里大師傅也給我寬展了思路,掃目錄的時候多嘗試幾個工具,可能會有不一樣的驚喜。訪問url使用賬號密碼登陸,界面如下。
登陸后,我們發現,這是一個帝國備份王的一個開源CMS。當我們知道是開源的時候,首先的思路是網上有沒有一些公開的漏洞供我們使用。
比如我們可以這樣搜索 EmpireBak v2010 后臺 RCE,結果如下
紅箭頭指的這篇文章就很合適,通過看文章,我們也了解了getshell的思路,就是替換文件內容。具體流程就是我們可以先備份數據,然后點擊管理備份目錄,點擊替換文件內容。
思路是有了,但是現在還有問題,就是備份王鏈接不上mysql,導致備份功能無法使用,但是不著急,這里備份王提供了一個功能,就是參數設置。如下
如果我們知道了數據庫的賬號密碼和數據庫名,是不是就可以嘗試連接數據庫了。所以現在重點是獲取數據庫賬號密碼。這如何獲取呢?
不要忘記了,之前我們拿到了釣魚網站的源碼壓縮包,現在來解壓來分析一下源碼。找一找配置文件,可能有我們需要的信息。源碼目錄如下
現在嘗試找一下數據庫的配置文件,如下,果然拿到的我們想要的信息
現在去網站嘗試一下看看是否連接成功,果然不出所料,連接成功,如下
現在可以嘗試拿shell了。喝口水壓壓驚,和大師傅同步一下信息,一個人孤軍奮戰,怎么能抵得上兩個人一起日站的快樂呢。
0x04 進后臺
之前咱們看源碼,發現有一個a1文件夾,查看文件夾相關文件,知道這是后臺的路徑
我們訪問一下,發現404
應該是把后臺路徑改掉了,不要緊,我們簡單嘗試一下,發現改為a7了,現在訪問a7界面如下
還是嘗試使用備份王的賬號密碼,發現登陸成功
后臺也就拿下了。查看信息,發現大部分都是臟數據了。再去問大師傅看看他那里有沒有什么信息。
登陸師傅提供的地址如下
這里還是有一些數據的,還是有上當受騙的,自己的個人信息被騙完了,最后還輸入了自己的手機號,接到了驗證碼,還把驗證碼提交到了釣魚網站。騰訊的防盜機制,二次認證也擋不住釣魚網站套路多。在這里提醒大家一定要提高警惕,提示輸入個人信息的地方一定要留個心眼。
0x05 Getshell
現在咱們按照之前的思路Getshell,先壓縮,然后將壓縮包下載下來。
然后遇到了新的問題,下載下來的文件都是空文件
沒有數據,所以也就無法替換,也就無法Getshell了。這是什么人間疾苦。現在問問大師傅,看看大師傅進行到哪一步了。
看來也卡住了,不要灰心,不要放棄任何一個細節,再去看看備份目錄,嘗試將最初備份文件下載下來,進行查看。
功夫不負有心人,成功。
到如下界面替換,上面填寫原內容,替換內容填入冰蝎木馬。
正要嘗試替換config.php文件的內容。想著先訪問一下,居然出現了大馬界面,大師傅先我一步下手了?去問一下
果然是大師傅干的,沒想到冰蝎和哥斯拉的馬子已經上去了,愛了愛了。上冰蝎,查看文件管理如下
0x06 提權之路
上面我們拿到了webshell,完成了第一步,現在開始提權了,冰蝎為我們提供了反彈shell的功能,這里我們使用冰蝎將shell彈到MSF中。去瞅一眼大師傅進度。
這就是大腿的感覺嗎?太幸福了。這里說一下提權的思路。msf里面有個可以自動提權的suggester,我們直接選擇就可以了,如下
選擇第一個后,開始提權!
在這里我們也是成功的拿到了服務器的root權限。如下圖
拿到root權限就好辦事了,查看賬戶,也是發現了ssh的端口和賬號密碼,登陸ssh如下:
因為釣魚網站是用寶塔搭建的,所以這里看了看寶塔相關信息,包括面板登陸頁,賬號密碼等等。大師傅也是貼心的把拿到的資產都整理好了。
第一個師傅發第一個json文件中有泄露的Access key,我們可以通過使用相關工具直接接管相關服務器。
網上有現成的工具,如下圖,工具鏈接:
https://github.com/mrknow001/aliyun-accesskey-Tools
最后,大師傅貼心的總結了文本,愛了。總結了寶塔,phpmyadmin,SSH等相關資產。
0x07 小結
關于釣魚網站的相關內容就分享到這里啦,咱們從最開始的一個Web弱口令,到日穿釣魚服務器,中間也是幾經波折,最后還是幸不辱命,咱們下期見。
