记某淘宝客软件分析拿库的曲折思路

微信公众号：渊龙Sec安全团队
为国之安全而奋斗，为信息安全而发声！
如有问题或建议，请在公众号后台留言
如果你觉得本文对你有帮助，欢迎在文章底部赞赏我们

0# 前言

之前，一个客户丢过来了一个抓取淘宝数据的程序，想知道该程序是怎么采集到淘宝数据的，让我深入研究一下原理

说实话，采集这东西现在已经不是难题，无论是通过Python采集还是通过WebSocket，我觉得都是可以实现的，毕竟现在对于UA检测已经没有之前那么严格了

1# 不断调整的思路

直接我就给他丢OD里面，先看加壳情况：

目前看来还是很顺利的，断点调试的时候，没有出现任何报错
通过几个小时的逆向分析，死活找不到登录的接口地址，发现自己对EXE的逆向分析确实有点难顶，对于混淆逆向的相关知识和技能还需要补充完善

于是转变思路，决定还是通过对程序的网络流量分析来找到突破口吧

2# 分析进程的网络流量

通过抓包，成功找到了上面逆向中死活没找到的网络接口，有点激动
通过分析抓到的数据包，可见登陆这块的模块是通过app.AneTaoApi.login传值的 ，我直接对该接口进行手工注入

发现它返还了“非法请求”，该接口使用了强过滤规则，试了好久依然没有成功ByPass过去，然后就在这个阶段卡住了

到这里，确实感觉挺头痛的，休息了20分钟后，打算再去尝试一下

3# 资产测绘发现突破口

既然上面两步，都没有实质性的进展，要不再换个思路，从服务器开放的其他服务寻找突破口？
很多时候，我们做一些项目，确实是“山重水复疑无路”，但通过寻找其他的服务，真的可以“柳暗花明又一村”，主要还是需要自己不断的去尝试、发现。

1. 通过Nmap去扫描并识别服务器开放的端口，看看有没有漏洞利用点

2. 通过censys.io搜寻该域名和资产的互联网暴露面

通过对该服务器和对应域名的资产测绘，发现该服务器开放了多个端口，且在不同端口上跑了不同的服务，如下：

通过对各个端口访问，发现他服务器网站还真不少，通过对888端口的指纹判断，直接判断服务器是安装了宝塔的（这块后面有用，前期肯定是做资产嘛，所以存下来还是有用的）

整理后，我挑选了其中看似最容易的两个点进行尝试：

• 某端口上开启的DedeCMS框架的Web服务

• 某端口上开启的未知后台的Web服务

4# 对DedeCMS的折腾

多的不说，少的不唠，肯定第一出发点就是DedeCMS（毕竟知名框架，漏洞挺多的，利用也方便）

• 小技巧1：怎么知道是DedeCMS->直接看robots.txt就确定了，都不用指纹识别

• 小技巧2：DedeCMS版本型号->直接访问/data/admin/ver.txt发现是20180109

但是通过DedeCMS框架的NDay利用，发现都是失败，在这一块又折腾了挺久，一直以为是自己的Payload出了问题，但是打自己的DedeCMS靶场都是可以成功利用的。。。
后面，去访问/data/文件下面的SQL错误日志也是不存在的，说明该站点应该使用了漏洞修复版，对已知的公开漏洞都打上了补丁，挺难的

5# 对未知后台的测试

上面对DedeCMS的测试，全部都是失败的，我的心情有些低落
转头来看这个未知后台的Web服务，本来不抱什么希望的

我发现它的后台登录没有使用验证码，直接上Burp进行慢速爆破（太快可能会被识别成攻击被拦截），不枉费我超大字典的爆破，成功爆破出后台的账号密码，真的是“天无绝人之路-绝处逢生”啊

登录后台搜集可用信息，在后台找找看看有没有上传利用点的时候，找了半天没找到，然后在迷茫中发现了系统后台可以安装扩展插件，并且有本地上传安装扩展的接口

就想着能不能通过扩展的本地安装接口，上传WebShell或者图片马进行后台提权
但很遗憾，还是不行，什么乱七八糟的姿势我用了很多，整整研究了2天还是没能折腾出来，可能是我太菜了

所以决定后台提权的时候，换个思路，看看应用市场能不能找到一些诸如“后台管理器”的插件或者扩展（能方便开发者进行文件管理或者命令执行等操作的后台工具）

立马去官方扩展超市搜索和查找相关资料，发现可以安装Dcat Admin这个文件管理工具扩展，来管理网站的目录和文件，就随手试试

没想到还真让我找到了，直接从应用市场安装成功了！！！

确实挺开心的，像是自己吃鸡了一样，决定通过该扩展上传WebShell

成功丢了马儿上去，但没想到，想去执行WebShell，却一直显示404
我自己认为拼接的绝对路径是没问题的，但是还是一直报错（可能该扩展的写入有问题，或者没有相应的权限，也有可能被服务器上的安全软件拦截了写入），这里就陷入了僵局

6# 对该扩展的再利用

折腾了好一会儿，提取了一下扩展的文件下载URL，突然发现可以通过文件下载的URL，于是就构造一个跨目录文件下载的Payload

/admin/media/download?file=../../../../../../etc/passwd

然而远程文件下载，又有什么用呢？（确实是漏洞，但是危害较低，大部分只能造成信息泄露）
我还配合DedeCMS的爆绝对目录的漏洞，下载了DedeCMS的数据库配置文件，通过查看数据库配置文件，发现数据库并不是root权限，也没有开启远程数据库访问，可能这个DedeCMS是通过宝塔直接搭建的

到这里，气氛有一丝丝尴尬起来
突然，我想到可以下载服务器上的my.cnf（MySQL服务的配置文件，因为前面发现服务器上面安装了宝塔，所以数据库的默认配置文件一定是这个）

/admin/media/download?file=../../../../../../../etc/my.cnf

哦吼，发现MySQL数据库对外的账号密码，而且是root！！！

直接Navicat测试，成功连接！！！
后续的渗透、操作、提权等，其实很多网上的公开文章都有，这里就不再写一遍了

7# 总结

• 这个项目挺头疼的，断断续续做了整整3天

• 从对EXE的逆向到对Web服务的测试，不断的碰壁，但最后还是圆满完成了项目

• 写这篇文章，就想对这次项目思路做一次记录，文章里面也包含了不少的小技巧

当你做项目时，在一个点上走投无路的时候，记住不要死磕，换个方向说不定就能成功！

“我能错无数次，但它，只能错一次”
服务器只要存在一个可用切入点，围绕这个切入点逐步深入，总能有所收获~~

我是Cainsoftware，我在渊龙Sec安全团队等你
微信公众号：渊龙Sec安全团队
欢迎关注我，一起学习，一起进步~
本篇文章为团队成员原创文章，请不要擅自盗取！

下面是我们团队公众号二维码，欢迎各位师傅关注！