0x00 故事的起因
那是一个阳光明媚的日子,我正在抓鱼,这时QQ群里弹出一条消息,我点开,心想这并不容易。如下图
扫码后发现被重定向到了QQ邮箱的登录界面,经判定为钓鱼网站,看到其域名为****kak2.cn。
此处随意输入,页面会跳转到如下界面。
好小伙子,年轻人,你弹得很好。 收集完QQ邮箱账号密码,再来收集一波个人信息。 你不能太贪心。 开始工作吧!
0x01 追踪网络钓鱼者
现在我们已经收到了他的域名,我们来收集一下该域名的信息。 使用网站管理员工具,如下所示。
可以找到域名注册人的姓名和电子邮件地址。 邮箱没有完全显示,这里再通过微步查询一下。如下图
这里有两点大家可以注意一下。 我这里收到了完整的邮箱,知道这是来自阿里云的。
对该邮箱地址进行反向核查后,我发现该邮箱地址下于5月和6月注册了多个域名。 他们的名字都叫刘xx,很可能是用来钓鱼的。
我尝试加QQ,却发现找不到这个人,尴尬了。
关于网络钓鱼者的信息收集已经结束,接下来我们开始网站的工作。
0x02 攻击钓鱼网站
之前我们收到了域名,现在我们正在渗透网站。 我们的想法是什么? 我们可以扫描子域名、目录等,如果没有信息,那么就开始查看钓鱼网站本身,看看有没有我们可以利用的东西。
首先扫描子域名,没有发现什么,如下图:
然后开始对域名进行目录扫描,如右图
扫描到的目录基本没有权限,都是403,没有任何帮助。
现在看来只能渗透到网站本身,看看有没有什么可以利用的了。 现在打开收集个人信息的表格,按F12看看有没有值得我们关注的地方,如下:
之前的目录扫描发现了uploads目录,没有权限。 在这里我们找到了上传/广告路径。 我们试图看看这个路径的前端是否可以接收文件、构建上传数据包、发送数据,但仍然失败。 如下:
不要沮丧,继续工作。 我们还发现使用了一个表单来提交数据,然后使用了一个自定义的函数chk()。 现在我们就跟进这个函数来看看。如下
这里我们是不是可以理解为网站使用ajax进行数据传输,将数据提交到本站的wap目录下,然后对身份证号进行简单的定期检查,其中规定输入的是数字和位数是 18 岁。
由于数据是提交到本站的钓鱼网站源码带后台,如果钓鱼者在前端接收数据时直接将参数拼接到SQL语句中,那么就可能存在SQL注入。
现在我们构造数据,提交数据,然后抓包进行测试。 捕获的数据包如下:
接下来开始测试是否存在SQL注入。 在name参数后添加一个冒号,发送数据,发现错误。 SQL注入存在!
猜测数据库名称、数据库版本并构造payload
'and updatexml(1,concat(0x7e,(select database()),0x7e),1)%23
'and updatexml(1,concat(0x7e,(select @@version,0x7e),1)%23
数据库名称是a7。 猜测表名并构造payload,如下
'and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='a7')),0)%23
我有一种不好的预感,发现表名很难获得。
果然,我用了一些其他的函数,发现也很难获取表名,可能是因为没有权限的缘故。 太可惜了,这个老人。
现在用sqlmap运行一下,结果如下
我只能跑出a7数据库,但是无法获取information_schema库。 难怪我无法通过手动注入获取表名。 唉,现在试试os-shell,看看有没有运气。如下
看来我运气不好,失败了。 不过虽然失败了,但是我们也知道当前的服务器系统是Linux,我们有路径,所以我们就当成绝对路径,死马当活马,看看能不能把文件写出来构建有效负载。 :
into outfile '\www\wwwroot\p******7.a******ka.cn\config\wap\test.php' FIELDS TERMINATED BY ''%23
结果如下,还是失败。
我尝试了一些其他方法,发现效果并不理想。
0x03 转身
真的不可能把服务器关掉吗? 我不相信。 到了晚上,情况出现了好转。 当我正在划船时,一个朋友的请求打破了沉默。 当我答应后,大哥也没多说什么,直接把网址和账号密码发给我,包括源码。 压缩包也被扫描了下来。 给这里的主人递支烟。
这里的老师也开阔了我的思路。 扫描目录的时候,多尝试几个工具,也许会有不一样的惊喜。 访问该 url 并使用您的帐户和密码登录。 界面如下。
登录后发现这是帝国备份王的一款开源CMS。 当我们知道它是开源的时候,我们第一个想到的是互联网上是否存在公开的漏洞可供我们利用。
比如我们可以这样搜索EmpireBak v2010后台RCE,结果如下
红色箭头所指的文章非常适合。 通过阅读文章,我们也了解了getshell的思想,就是替换文件内容。 具体流程是我们可以先备份数据,然后点击管理备份目录,点击替换文件内容。
想法是有了,但是现在还有一个问题,就是备份王无法连接mysql,使得备份功能很难使用,不过不用担心,备份王这里提供了一个功能,就是参数设置。如下
如果我们知道数据库帐户密码和数据库名称,我们是否可以尝试连接数据库? 那么现在重点是获取数据库账号密码。 如何获得?
别忘了,我们之前就收到了该钓鱼网站的源代码压缩包。 现在我们来解压并分析一下源代码。 查找配置文件,里面可能有我们需要的信息。源码目录如下
现在尝试查找数据库的配置文件,如下,我们得到了我们想要的信息
现在访问该网站并尝试查看是否连接成功。 果然连接成功,如下
现在你可以尝试获取外壳了。 喝着哈拉子平复震荡,与高手同步信息,孤军奋战,哪抵得上两个人每天站在一起的幸福。
0x04 进入后台
之前我们看源码,发现有一个a1文件夹。 查看该文件夹的相关文件,知道这是后台的路径
我们访问一下,找到404
应该是后台路径被改变了。 没关系。 我们简单试一下,发现已经改成a7了。 现在访问a7界面如下
还是尝试使用备份王的账号密码,发现登录成功
后台也被拆除。 查了资料发现大部分都是脏数据。 然后问问大师,看看那里有没有什么资料。
登录Master提供的地址如下:
这里还有一些数据,还有人被骗。 个人信息被骗后,最终输入手机号码,收到验证码,并将验证码提交给钓鱼网站。 腾讯的防盗机制和二次认证并不能阻止钓鱼网站的诸多伎俩。 我想提醒您提高警惕,在提示您输入个人信息时要小心。
0x05 获取shell
现在我们按照之前Getshell的思路,先压缩,然后下载压缩包。
然后我遇到了一个新问题。 下载的文件都是空文件。
没有数据,所以很难替换,也很难获得shell。 这是怎样的人类苦难啊。 现在请师父看看师父采取了什么步骤。
似乎卡住了,不要沮丧,不要丢弃任何细节,再次查看备份目录,尝试下载原始备份文件并检查。
努力有回报,成功。
进入如下界面进行替换,填写上面原来的内容,替换的内容填写冰蝎木马。
我正在尝试替换 config.php 文件的内容。 本来想着先去看看,结果居然出现了马来西亚界面。 师父先于我行动了吗?你去问问
果然是师父干的。 没想到,冰蝎子和哥斯拉已经相爱了。在冰蝎子上,查看文件管理如下
0x06 权力升级之路
上面我们得到了webshell钓鱼网站源码带后台,完成了第一步。 现在我们开始添加外壳。 冰蝎为我们提供了掉壳的功能。 这里我们使用 Ice Scorpion 将 shell 弹出到 MSF 中。 去看看大师的进步吧。
这就是手臂的感觉吗? 很高兴。 这里先说一下打包的想法。 msf上有一个sugger,可以手动打包。 我们直接选择即可,如下
选择第一个之后,就开始打包吧!
这里我们也成功获得了服务器的root权限。如下图
很容易获得root权限。 查看账户,找到ssh端口和账户密码。 登录ssh如下:
因为该钓鱼网站是利用宝塔搭建的,所以这里看一下宝塔相关信息,包括面板登录页面、账户密码等,主厨也贴心的整理了自己收到的所有资产。
第一个 master 在第一个 json 文件中发送了泄露的访问密钥。 我们可以利用相关工具直接接管相关服务器。
网上有现成的工具,如下图,工具链接:
最后,大师对课文进行了深思熟虑的总结。 我爱它。 总结了宝塔、phpmyadmin、SSH等相关资产。
0x07 摘要
这里就分享一下有关钓鱼网站的相关内容。 从一开始的弱Web密码到日常的钓鱼服务器,中间经历了很多坎坷。 最后,我们很幸运地活了下来。 我们上一期见。
礼貌地跟随
关注公众号回复“9527”即可获得一套HTB射击场文档和视频,“1208”个人常用高效爆破词典,“0221”2020望京文章包装,“2191”潇湘新安文章包装,“ 1212》反软件对比源码+数据源,《0421》Windows加壳工具包。
你在等什么? 赶紧点击下方名片关注学习吧!
推荐阅读