from:http://www.secpulse.com/archives/50971.html
说在前面的话:
这是一篇让所有只会社域名的小黑阔感觉后悔的文章
域名劫持就不多做介绍了,”圈内”很多小孩将域名劫持仅仅理解为 社工客服解析域名,挂个黑页,只能装逼,实际上域名权限都有了,要拿下目标难道还不容易吗?!做渗透测试要放长线钓大鱼。在这里,我们要将域名劫持的最大作用发挥出来!
这里我的目标是secpulse.com 安全脉搏 ,个人感觉一个很不错的信息安全门户网站。
在这里对脉搏表示歉意,未经授权就擅自进行渗透测试,本人未对网站进行任何删除,上传,下载,修改等操作(事后第一时间通知了安全脉搏官方,脉搏表示允许发表本文。)
本次攻击成功基本上与脉搏本身的运营没有任何关系。。从文中各位可以发现脉搏的运营都是在一个高度安全的环境下操作的,为安全操作二次开发的WordPress,和高度复杂的密码等。只是这个域名商打破了脉搏的堡垒。
好了外话有点多,进入正文。
志同道合就发车:
喜欢就上啊,爱就强jian啊,老司机就要发车。本次渗透测试消耗了本人将近一周的时间,开始针对www.secpulse.com进行测试时,首先扫描发现属于WordPress网站,并且后台做了调整,限制了爆破行为,有个Login LockDown插件保护,
爆破这个途径就被扼杀在襁褓中,况且专业搞安全的怎么会用弱密码呢,后面的密码复杂的不能忍也证实了这个问题。
网站都是由专业的安全团队运营的,我很难踩到有价值的信息。因此也无法制作一份高效字典来对网站进行测试。
并且服务器部署于阿里云,排除c段攻击,旁站也只发现了一个静态页面,几乎等于没用,非常愁人。
当目标本体没法攻破时,只能从他的相关部分下手,第一个想到的就是域名入手。
从dns服务器搜了一下,发现域名服务商是www.xxxx.com XX网
一周的时间 有四天都耽误到这里了。这个域名商有很多奇葩的逻辑漏洞。
我本人并无心去挖这个idc的漏洞,但是为了去获取secpulse.com的相关权限,我在该域名商购买了一个top域名。。来进行逻辑漏洞挖掘。。。也是醉了醉了。
ID处可以越权查看域名信息,但是不知道脉搏的id啊,所以我又抽空写了一个小脚本来遍历,呼啦哗啦。
最后查到secpulse.com的id为1xxxx,感动的眼泪流下来
这个域名商无语的地方就在于,很多关键地方的逻辑漏洞不存在,虽然可以查看 但是不能直接越权修改
譬如点击修改DNS,根本不让啊。这点让我郁闷了半天。。
之后发现域名模板处也可以遍历,这里唯一的用处就是获取一点点域名所有者的信息
结果很明显..没什么卵用..这数据有点让我蛋疼..虚晃的一枪吗
这里思路出现了卡壳。你知道渗透中突然卡壳是什么感受,是什么感受,如鲠在喉,你肯定懂的,你肯定懂的。
于是有好几个夜晚没睡着觉,里约奥运会也看不下去,心里堵得慌。
峰回路转有点酷:
第二天早上,不过不知道怎么想的 灵光一闪。我想到了提交工单,对,提工单,就是提工单!
八月八号提交 9号dns才生效。很神奇。这里提交工单的时候有用户id,抓包修改id似乎可以实现更改提交者身份,但是因为我不是客服看不到后台,所以这点我没法去确认。只是将域名直接标注在了工单标题
客服后台那里应该是没有去仔细核实这个域名是否归属于我的账户 就直接进行操作了。
DNS服务器更改之后 我就可以在我这边直接进行操作了,DNS服务器切换,原有的域名解析也都会消失,为了保证渗透成功我对secpulse.com的子域名进行了采集..不过没有什么特别多的内容,而且几乎都指向一个ip,于是我直接就做了泛解析。
进入整个渗透过程中最关键的地方,获取网站后台密码的过程
这里我用钓鱼攻击的方式,将www.secpulse.com整站1:1的毫无差别的仿制下来,制作一个钓鱼网站,将www.secpulse.com解析从安全脉搏的服务器解析到我的鱼站上,
这样当管理员访问时发现不到任何差异(其实有点差异,但是不碍事。。)当管理员从后台登录时,密码就会这样的发到我的邮箱里。
这里WordPress有一个特点,就是前后台登录是一个入口,给我省了不少事,我只需要制作一个入口的钓鱼即可
仿制全站这里手动仿制太累了,我这里用了一个这样一个小工具
很方便,但是仿制出来的网站会有js的问题,我还是花了很长时间做调整..具体怎么调整这里不是重点。
WordPress的登录入口文件是wp-login.php
代码我打包到一起了。有人登陆后,会在鱼站数据库里记录一次,然后通过邮箱发到我的邮箱里。 不至于丢失权限。
这里光是为了仿制一个不被发现异常的网站本人就花了一下午的时间(对前端一点都不懂),cry~~。 然后将secpulse的鱼站源码上传到我事先准备好的服务器上。
将www.secpulse.com解析到我的服务器,然后耐心等待管理员上钩
还没过10分钟。。管理员就登录了 邮件发到我的邮箱里了
这密码。。。真心的醉了。。复杂到不能忍。。以至于我差点以为我的小鱼站被攻击测试了。。再次cry。
因为管理员已经上钩,但是鱼站毕竟只是鱼站,我设计的登录入口是无论密码对错都会提示密码错误
这样时间久的话,管理员肯定是会发现的,所以这里我迅速的将域名解析恢复到安全脉搏服务器。但是恢复的再快也会有1-5分钟左右的差异。所以我这里直接自行绑定host到安全脉搏服务器 ,来直接登录后台
登录成功!甚是惊喜。。这个WordPress好像魔改的很厉害。。管理员权限没法访问编辑插件这类地方,所以没有拿到webshell,不过我已经很高兴了。
本人未对网站进行任何删除,上传,下载,修改等操作。
看着一直停留在自己脑子里的思路成功实现 这种感觉对于一个安全爱好者来讲真的是再好不过了。
本文始发于微信公众号(关注安全技术):我是如何巧妙渗入安全脉搏的
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论