铸剑靶场-电诈网站靶标渗透实战讲解

  • A+
所属分类:安全文章
铸剑靶场-电诈网站靶标渗透实战讲解

铸剑靶场-电诈网站靶标渗透实战讲解

铸剑靶场是首个依托于一线实战人员社区生态使“靶场-职业”形成良性互补的人才培训体系。它不但可以帮助用户循序渐进的掌握各种网络实战攻防技术,同时也是一个可以完全真实模拟生产环境,通过真实打击内网靶机,破除眼高手低的魔咒,实现真正的技术提升。

悬剑-单兵武器库,是铸剑靶场的好伴侣;铸剑靶场架设仿真环境,悬剑实操击打靶标,可以无缝的将靶场的技术储备能力转换到实战中来。


本文作者为铸剑学院学员,也是是一位优秀的网安基层民警 ID:sea


铸剑靶场-电诈网站靶标渗透实战讲解

以下为正文

铸剑靶场-电诈网站靶标渗透实战讲解


       


铸剑靶场-电诈网站靶标渗透实战讲解

    这次我们实战的是铸剑靶场中的“高级实战-诈骗网站渗透取证”课程。在课程页面中生成虚拟机地址后,第一步我们要做的就是信息收集,通过收集到的信息,结合悬剑单兵武器库中的各种工具进行下一步的渗透测试。


信息收集

铸剑靶场-电诈网站靶标渗透实战讲解


    首先我们使用悬剑武器库中的nmap对目标主机 http://192.168.6.202 进行扫描,发现对方只打开了80,22端口,如图


铸剑靶场-电诈网站靶标渗透实战讲解


22端口经过测试不是弱密码,于是我们用Firefox打开目标站点,如图


铸剑靶场-电诈网站靶标渗透实战讲解    

可以看到网站模仿的还是比较逼真的,通过手动浏览网站,我们可以发现只有红色字体的连接没有跳转到其它服务器上,其它连接都跳转到真实的网站。点击红色字体进入页面,如图


铸剑靶场-电诈网站靶标渗透实战讲解

铸剑靶场-电诈网站靶标渗透实战讲解

铸剑靶场-电诈网站靶标渗透实战讲解

    如上图横线上的url地址为诈骗网站的页面,箭头所指的表单里应该就是记录了所有受害者信息,等我们拿到webshell就可以通过这个表单找到所有受害者的详细信息了。点击网上安全监控软件下载回来的是TeamViewer远程控制软件,目的是通过诱骗等等方式控制受害人电脑进行远程转帐等操作。点击连接检察业务-侦查监督,如图


铸剑靶场-电诈网站靶标渗透实战讲解

铸剑靶场-电诈网站靶标渗透实战讲解

        

    这里我们进行手工验证两个表单是否存在sql注入,通过验证这两个表单不存在注入。此时想到有可以查询受害者信息的前台地址,那么就一定有一个后台是添加受害者信息的,我们使用悬剑武器库中的御剑WEB目录扫描优化版对后台地址进行扫描,可以得到后台地址为http://192.168.6.202/admin,此后台使用的是ecshop系统,如图。


铸剑靶场-电诈网站靶标渗透实战讲解

铸剑靶场-电诈网站靶标渗透实战讲解

右键查看源代码如图

铸剑靶场-电诈网站靶标渗透实战讲解

点击js/validator.js查看此js信息如图

铸剑靶场-电诈网站靶标渗透实战讲解


再次确定cms系统名称,于是直接百度下载一套ECSHOP CMS回来目前我们还不清楚目标所使用的版本但不管怎么样先下载一套源码回来可以得到网站目录一些信息,如图。


铸剑靶场-电诈网站靶标渗透实战讲解

我们下载华军的版本为2.7.3,下载回来后打开压缩包可以看到目录信息,如图

铸剑靶场-电诈网站靶标渗透实战讲解


点击进入upload目录


铸剑靶场-电诈网站靶标渗透实战讲解


再次验证目标网站是否使用ECSHOP系统,我们在域名后面加上api回车,可以看到如下信息,如图


铸剑靶场-电诈网站靶标渗透实战讲解


网站直接把目录里的文件也显示出来了,这可能是骗子对apache配置不当造成的目录遍历漏洞,正好给我们利用的机会,在目标网站里有一个文件gooos.php,这个文件在程序源码里是没有的,为了确定ecshop系统确实没有此文件,我们在百度下载其它版本的源码,也没有发现有此文件,仔细观察红线上的时间可以确定gooos.php文件创建或修改的时间和网站其它文件不是同一时间,那么gooos.php很有可能是网站创建之后有人创建的,我们点击此文件访问,如图


铸剑靶场-电诈网站靶标渗透实战讲解

显示都是空白,此时渗透攻城狮大胆猜想此文件为黑客所创建,可能是一句话木马,一个合格的渗透者必须注意一切细节,接下来为了验证自己的猜想,使用burpsuite尝试爆破这个一句话木马的密码。如果此文件真的是一句话木马,攻城狮只要破解了密码就拿到了目标的webshell权限。


爆破一句话

铸剑靶场-电诈网站靶标渗透实战讲解


操作如图,打开悬剑武器库中的burpsuite工具,如图


铸剑靶场-电诈网站靶标渗透实战讲解

铸剑靶场-电诈网站靶标渗透实战讲解

铸剑靶场-电诈网站靶标渗透实战讲解

先设置代理端口点击Proxy-Options如图代理端口为8080

铸剑靶场-电诈网站靶标渗透实战讲解

打开悬剑武器库中的chrome浏览器,使用Proxy SwitchyOmega设置代理,如图


铸剑靶场-电诈网站靶标渗透实战讲解

铸剑靶场-电诈网站靶标渗透实战讲解

铸剑靶场-电诈网站靶标渗透实战讲解

当Proxy SwitchyOmega的插件图标显示为蓝色表示代理设置成功。

设置好代理后,按F12显示hackbar工具栏,打勾 Enable Post data 地址栏填写http://192.168.6.202/api/gooos.php内容填写 a=phpinfo(); 点击Execute,如图


铸剑靶场-电诈网站靶标渗透实战讲解

在弹出 burpsuite 窗口中点击 Intercept,右键-Send to Intruder,如图 


铸剑靶场-电诈网站靶标渗透实战讲解


点击Intruder栏Positions 选项,再点Clear清除参数,如图


铸剑靶场-电诈网站靶标渗透实战讲解

选中a点击Add$,添加一个参数,如图

铸剑靶场-电诈网站靶标渗透实战讲解


转到Payloads配置选项点击Load载入D:悬剑武器库字典目录爆破字典webshellPassword.txt,如图

铸剑靶场-电诈网站靶标渗透实战讲解

铸剑靶场-电诈网站靶标渗透实战讲解

点击 Options 配置 20 个线程,如图


铸剑靶场-电诈网站靶标渗透实战讲解


全部配置完毕后点击 Intruder-Start attack 开始攻击如图

铸剑靶场-电诈网站靶标渗透实战讲解

很快字典就跑完了,之后通过判断返回包长度我们来确定哪一个密码是确定的,如图

铸剑靶场-电诈网站靶标渗透实战讲解

把chrome的Proxy SwitchyOmega插件选为直接连接后,验证一句话密码pass如图

铸剑靶场-电诈网站靶标渗透实战讲解

可以确定之前我们的判断是正确的,此时我们成功拿下目标的webshell,之后就是取证的事情了。

取证


通过菜刀连接一句话,找到配置文件如图

铸剑靶场-电诈网站靶标渗透实战讲解

得到了mysql的帐号密码之后进入数据库查看后台信息如图


铸剑靶场-电诈网站靶标渗透实战讲解

配置好数据库后查看管理员信息表,如图


铸剑靶场-电诈网站靶标渗透实战讲解

得到了后台的帐号密码还有上次登录的ip地址,之后通过cmd5网站破解 admin2 的帐号登录后台,如图


铸剑靶场-电诈网站靶标渗透实战讲解

登录后台,如图


铸剑靶场-电诈网站靶标渗透实战讲解

到此我们已经成功将该诈骗网站拿下,可以收工了。


总结

看到网站地址后要想到的就是收集信息,这是任务渗透开始的第一步。

通过扫描端口发现目标只开放了80端口,之后我们通过网站的80端口收集信息。

在通过后台的源码js里发现了后台所使用的cms信息,之后下载了相应的源码系统,通过对比源码发现了网站目录下一个名称诡异的文件,在看到此文件日期后果断对此文件用burpsuite进行一句话木马测试,最后成功拿到目标webshell。

最后进行取证工作。


铸剑-云靶场是一个活生生的平台。技术再好,过时无效,靶场再贵,难光阴;铸剑靶场根植行业前沿技术生态,不断更新,引流实战潮流!配合悬剑单兵武器库,天衣无缝!

本文作者为一位网安执法者 ID


欢迎关注 圈子社区官方公众号,

不花钱,不求人、获得最新职业红队资源!


公益,鲜活,专业


铸剑靶场-电诈网站靶标渗透实战讲解
铸剑靶场-电诈网站靶标渗透实战讲解
铸剑靶场-电诈网站靶标渗透实战讲解

关于圈子社区:

我们是一个非盈利,封闭的白帽子技术交流社区。目前成员2000+,拥有业内首个自主研发的红蓝实战靶场(公安部已列装),体系化学习和燃爆的交流气氛助你成为真正的大佬,社区专注实战,崇尚技术,如果你也是实战派,请关注我们。

社区地址:(请使用https访问)

https://www.secquan.org


铸剑靶场-电诈网站靶标渗透实战讲解
铸剑靶场-电诈网站靶标渗透实战讲解
铸剑靶场-电诈网站靶标渗透实战讲解
好看你就点点
铸剑靶场-电诈网站靶标渗透实战讲解

本文始发于微信公众号(Secquan圈子社区):铸剑靶场-电诈网站靶标渗透实战讲解

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: