浅谈一次对指定传销APP的渗透

admin 2023年12月5日18:38:18评论38 views字数 2442阅读8分8秒阅读模式
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安设为星标”,否则可能看不到了

作者为防止目标泄露,所以写的纯文字分享,大家可以学习参考下这位师傅的一些思路,或者当个“故事”看。

引言

博客现在发文章发的越来越少了,很多项目都不方便公布,建个博客摆着也不知道写些什么,关了呢又感觉有些不舍,指不定哪天心血来潮又想捣鼓下博客哪个踏踏代码呢,迷茫....

同时也在纠结有没有必要将自己的思路公布出去,安全圈很小,涉网圈更小一张重度码的图片指不定也有人能一眼知道是哪个目标,啧啧,只能说是记忆力强大....慢慢开始理解为什么最近几年安全圈很少看到新技术思路的出现了,安全圈也卷起来了,害....

开篇

不闲扯了,简单写写某次项目的过程吧,图就不上了,就当水文吧~
客户发来一个传销 APP,需要得到数据取证,大是十月份发来的吧,当时简单看了下情况;
前后端分离,基于海豚 CMS 二,用的宝塔,开启了 TP 的 DEBUG,RCE不存在也打不了,后台地址改了,前台无上传,注入和 XSS 没戏,去官方下了海豚代码瞅了瞅,没什么卵用;
通过 TP 的特性漏洞得到了数据库账号密码,可惜没开启外链;
绕过宝塔拉 IP 封锁对网站目录进行扫描,想着跑个源码备份啥的,然无果
没有做 CDN了下旁服和一些边缘资产,发现了几个前端服务几个后端服务器,全是一模一样,毫无卵用....
现存在独立客服站点到一客服账号弱口令进入客服后台,法拿shell,百度找到了该客服系统源码进行审计,发现确实没法, XSS 都没挖到,审个寂寞~
发现一处客服后台账号泄露接口,通过该接口获取到客服后台所有账号及密文密码;
一时陷入了僵局,就没在看了,暂时放下搞别的~

柳暗花明

后面听到说某神器可以用了,遂使用该神器对目标进行了一波资产收集;
找到了好几个客服站,不过这套客服我之前审过,没戏,
找到一个他们团伙开设的另一个项目,和目标像,对该资产进行渗透,现三个 admin 进入后台...
进去看了下,目测还在开发调试呢,后台也没啥数据,但这些不影响后台系统上传处添加上传后缀 php ,找点直接传 php 直接秒,滑的一批,宝居然没出来我,也是奇迹。
连上 shell 后简单看了下,上面就拿下的这个站和一个客服站,然后就没别的了,干净的一批;然后打包该站源码下来,本地开始搭建审计;

发现个前台 token 可以伪造任意账号登陆,一处后台储存型 XSS,但是那个点管理员基本不会触发,想着顺着这条路挖个昵称处的 XSS ,结果玛,POST 参数 img,宝塔不拦截,非 IMG 的参数交宝塔都要拦截,绕了半天绕不过去,太了,我也是第一次见到宝塔根据参数来决定拦截的情况,一懵,放弃,别的方也没审出个啥,发现代码和目标还是存在很大差异,遂审计这条路放弃

忘了说了,之前通过神器收集到了目标的后台地址,后没有验证码和谷歌验证码之类的,也没有登陆次数限制可以随便爆,当时想着这不是妥了嘛,结果现实很残酷,百万字典用完了都没跑出来个账号,
后面根据拿下的站点的源码发现,他后台登陆账号是检索的 账号、邮箱、手机号、三个满足其一即可,遂进行了常见如 13888888888 这类手机号进行爆破也失败,最后手动尝试邮箱的时候让我试出来一个账号:[email protected] ,根据这个命名,又跑出来三个账号如:[email protected],当时以为又稳了,结果跑了两天人麻了。
后又想起来之前客服站收集到的后台密文,根据客服源码的加密规则,使用 hashcat 进行破解,跑了几天,服务都快炸了,我心也炸了,也停止了破解,条路也不通。

技术送温暖

如上述所说,搞的头大,实在没辙了,只能拿出老办法,通过拿下的站点进行钓鱼,其实已经是最后的办法了,当时并没有报多大希望的,因为之前几个项目钓鱼被技术的智商虐哭了,害

结果把,这术真的太贴心了当天晚上就上线了,瞅了下电脑,要有啥,贼棒。
第二天到公司了详细看了下技术电脑的东西,到后台的账号和密码当时我心态是有点炸的,为什么别人搞站都是什么123456,到我就是什么字母数字特殊符号?
通过技术电脑的服务器连接记录,得到目标服务器权限,其实这里已经可以结束了,接连上服务器取证打包就完事的,但又担心后期不好做司法解释,所就想着进宝塔,过宝塔后台一键备份更香一点,也因为这个想法,又让我折腾了半天....我这该死的强迫症~

宝塔真该死啊

们恶不恶心宝塔我不知道,反正我是恶心坏了,十个项目九个是它,成功成为了非法网站的保护伞;

就说进宝塔这个事把,以都是直接下载数据库,添加账号覆盖数据库就完了,结果这次居然不行?
看了下宝塔的代码,我只能吐槽宝塔是找不到什么更新点了嘛?吃饱了撑着加了个登陆账号 ID 限制,只会检索 ID 为 1 的账号登陆,我当时脑瓜子嗡嗡的,被这葩操作整不会了...
其实这里把,我们只需要把添加的账号的 ID 改成 1 ,他原本的改成 2 就可以登陆了,登陆后在改回来即可,是我当时就很不爽,操作很麻烦,在加上刚好看到论坛有人说宝塔出漏洞了,我就想着既然如此,就审审宝塔代码把,一边找个更轻松省事的方式登陆宝塔,一边看看能不能挖到什么 0day~
然后一下午过去了,到个一键登陆宝塔和一键删除自己操作的日志,不算0day,需要 root,其他的洞没挖到,不过解决了一开始的问题,以后想进宝塔就方便太多了,一个 py 脚本即可解决;
然后就是取证机连上宝塔取证托库打包了;
最后来张技术电脑截图收尾吧~

浅谈一次对指定传销APP的渗透

本文作者:Mr.Wu,转载请注明,尊守博主劳动成果!原文地址:https://mrwu.red/web/4078.html


原文始发于微信公众号(潇湘信安):浅谈一次对指定传销APP的渗透

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月5日18:38:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   浅谈一次对指定传销APP的渗透https://cn-sec.com/archives/2269687.html

发表评论

匿名网友 填写信息