我是如何巧妙渗入安全脉搏的（附官方还原详情）

在前面的话：

这是一篇让所有只会社域名的小黑阔感觉后悔的文章

域名劫持就不多做介绍了，”圈内”很多小孩将域名劫持仅仅理解为 社工客服解析域名，挂个黑页，只能装逼，实际上域名权限都有了，要拿下目标难道还不容易吗？！做渗透测试要放长线钓大鱼。在这里，我们要将域名劫持的最大作用发挥出来！

这里我的目标是secpulse.com 安全脉搏 ，个人感觉一个很不错的信息安全门户网站。

在这里对脉搏表示歉意，未经授权就擅自进行渗透测试，本人未对网站进行任何删除，上传，下载，修改等操作(事后第一时间通知了安全脉搏官方，脉搏表示允许发表本文。)

本次攻击成功基本上与脉搏本身的运营没有任何关系。。从文中各位可以发现脉搏的运营都是在一个高度安全的环境下操作的,为安全操作二次开发的WordPress,和高度复杂的密码等。只是这个域名商打破了脉搏的堡垒。

好了外话有点多，进入正文。

志同道合就发车：

喜欢就上啊，爱就强jian啊，老司机就要发车。本次渗透测试消耗了本人将近一周的时间，开始针对www.secpulse.com进行测试时，首先扫描发现属于WordPress网站，并且后台做了调整，限制了爆破行为，有个Login LockDown插件保护,

爆破这个途径就被扼杀在襁褓中，况且专业搞安全的怎么会用弱密码呢，后面的密码复杂的不能忍也证实了这个问题。

网站都是由专业的安全团队运营的，我很难踩到有价值的信息。因此也无法制作一份高效字典来对网站进行测试。

并且服务器部署于阿里云，排除c段攻击，旁站也只发现了一个静态页面，几乎等于没用，非常愁人。

当目标本体没法攻破时，只能从他的相关部分下手，第一个想到的就是域名入手。

从dns服务器搜了一下，发现域名服务商是www.xxxx.com XX网

一周的时间 有四天都耽误到这里了。这个域名商有很多奇葩的逻辑漏洞。

我本人并无心去挖这个idc的漏洞，但是为了去获取secpulse.com的相关权限，我在该域名商购买了一个top域名。。来进行逻辑漏洞挖掘。。。也是醉了醉了。

ID处可以越权查看域名信息，但是不知道脉搏的id啊，所以我又抽空写了一个小脚本来遍历，呼啦哗啦。

最后查到secpulse.com的id为1xxxx，感动的眼泪流下来。

这个域名商无语的地方就在于，很多关键地方的逻辑漏洞不存在，虽然可以查看 但是不能直接越权修改

譬如点击修改DNS，根本不让啊。这点让我郁闷了半天。。

之后发现域名模板处也可以遍历，这里唯一的用处就是获取一点点域名所有者的信息

结果很明显..没什么卵用..这数据有点让我蛋疼..虚晃的一枪吗

这里思路出现了卡壳。你知道渗透中突然卡壳是什么感受，是什么感受，如鲠在喉，你肯定懂的，你肯定懂的。

于是有好几个夜晚没睡着觉，里约奥运会也看不下去，心里堵得慌。

峰回路转有点酷：

第二天早上，不过不知道怎么想的 灵光一闪。我想到了提交工单，对，提工单，就是提工单！

八月八号提交 9号dns才生效。很神奇。这里提交工单的时候有用户id，抓包修改id似乎可以实现更改提交者身份，但是因为我不是客服看不到后台，所以这点我没法去确认。只是将域名直接标注在了工单标题

客服后台那里应该是没有去仔细核实这个域名是否归属于我的账户 就直接进行操作了。

DNS服务器更改之后 我就可以在我这边直接进行操作了，DNS服务器切换，原有的域名解析也都会消失，为了保证渗透成功我对secpulse.com的子域名进行了采集..不过没有什么特别多的内容，而且几乎都指向一个ip，于是我直接就做了泛解析。

梦想照进现实：

进入整个渗透过程中最关键的地方，获取网站后台密码的过程

这里我用钓鱼攻击的方式，将www.secpulse.com整站1：1的毫无差别的仿制下来，制作一个钓鱼网站，将www.secpulse.com解析从安全脉搏的服务器解析到我的鱼站上，

这样当管理员访问时发现不到任何差异(其实有点差异，但是不碍事。。)当管理员从后台登录时，密码就会这样的发到我的邮箱里。

这里WordPress有一个特点，就是前后台登录是一个入口，给我省了不少事，我只需要制作一个入口的钓鱼即可

仿制全站这里手动仿制太累了，我这里用了一个这样一个小工具

很方便，但是仿制出来的网站会有js的问题，我还是花了很长时间做调整..具体怎么调整这里不是重点。

WordPress的登录入口文件是wp-login.php

代码我打包到一起了。有人登陆后，会在鱼站数据库里记录一次，然后通过邮箱发到我的邮箱里。 不至于丢失权限。

这里光是为了仿制一个不被发现异常的网站本人就花了一下午的时间(对前端一点都不懂)，cry~~。 然后将secpulse的鱼站源码上传到我事先准备好的服务器上。

将www.secpulse.com解析到我的服务器，然后耐心等待管理员上钩

还没过10分钟。。管理员就登录了 邮件发到我的邮箱里了

这密码。。。真心的醉了。。复杂到不能忍。。以至于我差点以为我的小鱼站被攻击测试了。。再次cry。。。

因为管理员已经上钩，但是鱼站毕竟只是鱼站，我设计的登录入口是无论密码对错都会提示密码错误

这样时间久的话，管理员肯定是会发现的，所以这里我迅速的将域名解析恢复到安全脉搏服务器。但是恢复的再快也会有1-5分钟左右的差异。所以我这里直接自行绑定host到安全脉搏服务器 ，来直接登录后台

登录成功！甚是惊喜。。这个WordPress好像魔改的很厉害。。管理员权限没法访问编辑插件这类地方，所以没有拿到webshell,不过我已经很高兴了。

本人未对网站进行任何删除，上传，下载，修改等操作。

看着一直停留在自己脑子里的思路成功实现 这种感觉对于一个安全爱好者来讲真的是再好不过了。

总结一下：文章对于菜鸟来讲很详细，对老鸟来讲废话有点多，自行精简阅读。

不能只把域名劫持停留在挂一个黑页就跑。要发挥最大价值,渗透测试要耐得住寂寞！

另外在此对安全脉搏的理解表示支持！也希望安全脉搏能够继续给大家提供这样优秀的学习环境！

披露流程：

2016/08/09 下午向安全脉搏官方提交了详情报告

2016/08/09 下午脉搏官方更改了相关密码并紧急申请域名转移

2016/08/10 通知某域名商安全漏洞；且持续转出域名中。

2016/08/13 脉搏正式公开还原报告详情，成为国内首个公布自己漏洞的技术社区平台

脉搏官方还原攻击受害详情：

内部回溯了一下被攻击场景，市面上很少有这种把攻击者和被攻击者两边的状态和详情同步出来的：

08/09号之前的踩点、域名商攻击 我们是捕捉不到的，因为一是正常行为，一是外部平台行为。

08/09号小编刚吃完饭，恰好去看脉搏官网，约在1点25分的时候，发现脉搏的缩略图变了，变了！这不科学！（恰好这个时候小编注意点了，攻击者运气也挺好，切换的时间很凑巧）

咋所有缩略图都变成了电商企业的安全困境？这篇的缩略图呢？而且登陆处的小异样。（这里感觉到了异常，但是没觉得是攻击）

1. 出错的时候缩略图调用： http://www.secpulse.com/Picture/timthumb.php
2. 正常的缩略图调用： http://www.secpulse.com/wp-content/themes/sec/timthumb.php?src=http://www.secpulse.com/wp-content/uploads/2016/08/Cobra11.png&h=140&w=210&zc=1

小编第一感觉又是timthumb.php缩略图插件出问题或者是服务器存储cache磁盘满了，于是上服务器上看cache和日志，

cache没有问题，日志上也没有异常，小编就摸不着头脑，把问题就定位在timethumb上了，然后去登陆后台，拿编辑账号登陆不上提示

提示用户名不对？难道哪里出问题了吗？于是要了管理员账户去登陆还是失败了。

去跟运维人员沟通了一下，运维人员说最近正在做db主从，但是今天没有动。

这就奇怪了，折腾了大概5分钟多一点，再次刷新，页面又好了（其实是攻击者已经切换回来）。

虽然觉得奇怪，但是小编基于对自己站点绝对信任的基础上，还是认为插件或者db主从会导致这个问题,没有去ping IP。

虽然查了一下基于已获取信息的日志，却没有意识到xx.xx.xx.64就是攻击者IP。

$ cat xxx.log | grep "/Picture/timthumb.php"
xx.xx.xx.64 - - [09/Aug/2016:13:25:27 +0800] "GET /Picture/timthumb.php HTTP/1.0" 404 576 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" "-"
xx.xx.xx.64 - - [09/Aug/2016:13:25:27 +0800] "GET /Picture/timthumb.php HTTP/1.1" 404 576 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" "-"
xx.xx.xx.172 - - [09/Aug/2016:13:28:26 +0800] "GET /Picture/timthumb.php HTTP/1.1" 404 576 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" "-"
xx.xx.xx.192 - - [09/Aug/2016:13:28:27 +0800] "GET /Picture/timthumb.php HTTP/1.1" 404 576 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" "-"
xx.xx.xx.159 - - [09/Aug/2016:13:36:22 +0800] "GET /Picture/timthumb.php HTTP/1.1" 404 174 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_3) AppleWebKit/601.4.4 (KHTML, like Gecko) Version/9.0.3 Safari/601.4.4" "-"
xx.xx.xx.130 - - [09/Aug/2016:13:36:50 +0800] "GET /Picture/timthumb.php HTTP/1.1" 404 576 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.157 Safari/537.36" "-"

还是比较疑惑，但是8月9号是七夕，有些私事在处理，很快恢复后也就没有继续跟进。

下午3点半的时候收到F4ther小童鞋的攻击报告，才意识到刚才那是攻击。虽然没有授权，但是F4ther小童鞋帮助我们发现了问题并且及时报告给我们，这里表示非常感谢，我们会赠送安全脉搏Tshirt和一定额度的奖金Bounty。

解析一下F4ther小童鞋对于后台管理员权限不能编辑模板插件：这个WordPress好像魔改的很厉害。。管理员权限没法访问编辑插件这类地方，所以没有拿到webshell,不过我已经很高兴了。

其实很简单wp-config.php里面设置

define('DISALLOW_FILE_EDIT', true );
define('DISALLOW_FILE_MODS',true);

就ok。

安全脉搏官方回应：

1.攻击时时刻刻都可能存在，也许你还自我感觉良好，以为自己很安全。攻击的思路和方向也有千千万，确实很难防范。我们知道自己做的还远远不够，仍然需要努力。那些业务线很长很长的大企业也需要警醒起来。

2.我们欢迎在不影响业务正常运行的情况下收到白帽子们的漏洞报告或者bug报告，这里非常感谢F4ther小童鞋提供的安全报告，让我们加强安全防护，更好的服务大众。

3.我们大概是国内首个公布自己漏洞的技术社区平台，我们秉承一直以来的高质量技术文章分享的初心，也愿意分享脉搏平台本身相关的安全威胁文章。我们承认漏洞并且公开攻击详情供大家学习参考。

4.面对域名商问题及小编安全意识问题及沟通问题，我们制定了紧急修复方案：

• 1.后台管理员密码更改【ok】
• 2.邮箱密码更改 【ok】
• 3.虽然攻击者没有拿到webshell，我们仍然建议用户更改密码【continue】
• 4.域名转入阿里云，设置隐私保护【continue】
• 5.通知某域名商，修复漏洞，提高客服安全意识【continue】
• 6.后台登陆接入多因素令牌扫码登陆【后续进度中】
• 7.购买https证书，接入https。【后续进度中】