我是如何巧妙渗入安全脉搏的(附官方还原详情)

在前面的话:

这是一篇让所有只会社域名的小黑阔感觉后悔的文章

域名劫持就不多做介绍了,”圈内”很多小孩将域名劫持仅仅理解为 社工客服解析域名,挂个黑页,只能装逼,实际上域名权限都有了,要拿下目标难道还不容易吗?!做渗透测试要放长线钓大鱼。在这里,我们要将域名劫持的最大作用发挥出来!

这里我的目标是secpulse.com 安全脉搏 ,个人感觉一个很不错的信息安全门户网站。

在这里对脉搏表示歉意,未经授权就擅自进行渗透测试,本人未对网站进行任何删除,上传,下载,修改等操作(事后第一时间通知了安全脉搏官方,脉搏表示允许发表本文。)

本次攻击成功基本上与脉搏本身的运营没有任何关系。。从文中各位可以发现脉搏的运营都是在一个高度安全的环境下操作的,为安全操作二次开发的WordPress,和高度复杂的密码等。只是这个域名商打破了脉搏的堡垒。

好了外话有点多,进入正文。

志同道合就发车:

喜欢就上啊,爱就强jian啊,老司机就要发车。本次渗透测试消耗了本人将近一周的时间,开始针对www.secpulse.com进行测试时,首先扫描发现属于WordPress网站,并且后台做了调整,限制了爆破行为,有个Login LockDown插件保护,

爆破这个途径就被扼杀在襁褓中,况且专业搞安全的怎么会用弱密码呢,后面的密码复杂的不能忍也证实了这个问题。

网站都是由专业的安全团队运营的,我很难踩到有价值的信息。因此也无法制作一份高效字典来对网站进行测试。

并且服务器部署于阿里云,排除c段攻击,旁站也只发现了一个静态页面,几乎等于没用,非常愁人。

当目标本体没法攻破时,只能从他的相关部分下手,第一个想到的就是域名入手。

从dns服务器搜了一下,发现域名服务商是www.xxxx.com XX网

一周的时间 有四天都耽误到这里了。这个域名商有很多奇葩的逻辑漏洞。

我本人并无心去挖这个idc的漏洞,但是为了去获取secpulse.com的相关权限,我在该域名商购买了一个top域名。。来进行逻辑漏洞挖掘。。。也是醉了醉了。

ID处可以越权查看域名信息,但是不知道脉搏的id啊,所以我又抽空写了一个小脚本来遍历,呼啦哗啦。

最后查到secpulse.com的id为1xxxx,感动的眼泪流下来。

这个域名商无语的地方就在于,很多关键地方的逻辑漏洞不存在,虽然可以查看 但是不能直接越权修改

譬如点击修改DNS,根本不让啊。这点让我郁闷了半天。。

之后发现域名模板处也可以遍历,这里唯一的用处就是获取一点点域名所有者的信息

结果很明显..没什么卵用..这数据有点让我蛋疼..虚晃的一枪吗

这里思路出现了卡壳。你知道渗透中突然卡壳是什么感受,是什么感受,如鲠在喉,你肯定懂的,你肯定懂的。

于是有好几个夜晚没睡着觉,里约奥运会也看不下去,心里堵得慌。

峰回路转有点酷:

第二天早上,不过不知道怎么想的 灵光一闪。我想到了提交工单,对,提工单,就是提工单!

八月八号提交 9号dns才生效。很神奇。这里提交工单的时候有用户id,抓包修改id似乎可以实现更改提交者身份,但是因为我不是客服看不到后台,所以这点我没法去确认。只是将域名直接标注在了工单标题

客服后台那里应该是没有去仔细核实这个域名是否归属于我的账户 就直接进行操作了。

DNS服务器更改之后 我就可以在我这边直接进行操作了,DNS服务器切换,原有的域名解析也都会消失,为了保证渗透成功我对secpulse.com的子域名进行了采集..不过没有什么特别多的内容,而且几乎都指向一个ip,于是我直接就做了泛解析。

梦想照进现实:

进入整个渗透过程中最关键的地方,获取网站后台密码的过程

这里我用钓鱼攻击的方式,将www.secpulse.com整站1:1的毫无差别的仿制下来,制作一个钓鱼网站,将www.secpulse.com解析从安全脉搏的服务器解析到我的鱼站上,

这样当管理员访问时发现不到任何差异(其实有点差异,但是不碍事。。)当管理员从后台登录时,密码就会这样的发到我的邮箱里。

这里WordPress有一个特点,就是前后台登录是一个入口,给我省了不少事,我只需要制作一个入口的钓鱼即可

仿制全站这里手动仿制太累了,我这里用了一个这样一个小工具

很方便,但是仿制出来的网站会有js的问题,我还是花了很长时间做调整..具体怎么调整这里不是重点。

WordPress的登录入口文件是wp-login.php

代码我打包到一起了。有人登陆后,会在鱼站数据库里记录一次,然后通过邮箱发到我的邮箱里。 不至于丢失权限。

这里光是为了仿制一个不被发现异常的网站本人就花了一下午的时间(对前端一点都不懂),cry~~。 然后将secpulse的鱼站源码上传到我事先准备好的服务器上。

www.secpulse.com解析到我的服务器,然后耐心等待管理员上钩

还没过10分钟。。管理员就登录了 邮件发到我的邮箱里了

这密码。。。真心的醉了。。复杂到不能忍。。以至于我差点以为我的小鱼站被攻击测试了。。再次cry。。。

因为管理员已经上钩,但是鱼站毕竟只是鱼站,我设计的登录入口是无论密码对错都会提示密码错误

这样时间久的话,管理员肯定是会发现的,所以这里我迅速的将域名解析恢复到安全脉搏服务器。但是恢复的再快也会有1-5分钟左右的差异。所以我这里直接自行绑定host到安全脉搏服务器 ,来直接登录后台

登录成功!甚是惊喜。。这个WordPress好像魔改的很厉害。。管理员权限没法访问编辑插件这类地方,所以没有拿到webshell,不过我已经很高兴了。

本人未对网站进行任何删除,上传,下载,修改等操作。

看着一直停留在自己脑子里的思路成功实现 这种感觉对于一个安全爱好者来讲真的是再好不过了。

总结一下:文章对于菜鸟来讲很详细,对老鸟来讲废话有点多,自行精简阅读。

不能只把域名劫持停留在挂一个黑页就跑。要发挥最大价值,渗透测试要耐得住寂寞!

另外在此对安全脉搏的理解表示支持!也希望安全脉搏能够继续给大家提供这样优秀的学习环境!

披露流程:

2016/08/09 下午向安全脉搏官方提交了详情报告

2016/08/09 下午脉搏官方更改了相关密码并紧急申请域名转移

2016/08/10 通知某域名商安全漏洞;且持续转出域名中。

2016/08/13 脉搏正式公开还原报告详情,成为国内首个公布自己漏洞的技术社区平台

脉搏官方还原攻击受害详情:

内部回溯了一下被攻击场景,市面上很少有这种把攻击者和被攻击者两边的状态和详情同步出来的:

08/09号之前的踩点、域名商攻击 我们是捕捉不到的,因为一是正常行为,一是外部平台行为。

08/09号小编刚吃完饭,恰好去看脉搏官网,约在1点25分的时候,发现脉搏的缩略图变了,变了!这不科学!(恰好这个时候小编注意点了,攻击者运气也挺好,切换的时间很凑巧)

咋所有缩略图都变成了电商企业的安全困境?这篇的缩略图呢?而且登陆处的小异样。(这里感觉到了异常,但是没觉得是攻击)

  1. 出错的时候缩略图调用: http://www.secpulse.com/Picture/timthumb.php
  2. 正常的缩略图调用: http://www.secpulse.com/wp-content/themes/sec/timthumb.php?src=http://www.secpulse.com/wp-content/uploads/2016/08/Cobra11.png&h=140&w=210&zc=1

小编第一感觉又是timthumb.php缩略图插件出问题或者是服务器存储cache磁盘满了,于是上服务器上看cache和日志,

cache没有问题,日志上也没有异常,小编就摸不着头脑,把问题就定位在timethumb上了,然后去登陆后台,拿编辑账号登陆不上提示

提示用户名不对?难道哪里出问题了吗?于是要了管理员账户去登陆还是失败了。

去跟运维人员沟通了一下,运维人员说最近正在做db主从,但是今天没有动。

这就奇怪了,折腾了大概5分钟多一点,再次刷新,页面又好了(其实是攻击者已经切换回来)。

虽然觉得奇怪,但是小编基于对自己站点绝对信任的基础上,还是认为插件或者db主从会导致这个问题,没有去ping IP。

虽然查了一下基于已获取信息的日志,却没有意识到xx.xx.xx.64就是攻击者IP。

$ cat xxx.log | grep "/Picture/timthumb.php"
xx.xx.xx.64 - - [09/Aug/2016:13:25:27 +0800] "GET /Picture/timthumb.php HTTP/1.0" 404 576 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" "-"
xx.xx.xx.64 - - [09/Aug/2016:13:25:27 +0800] "GET /Picture/timthumb.php HTTP/1.1" 404 576 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" "-"
xx.xx.xx.172 - - [09/Aug/2016:13:28:26 +0800] "GET /Picture/timthumb.php HTTP/1.1" 404 576 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" "-"
xx.xx.xx.192 - - [09/Aug/2016:13:28:27 +0800] "GET /Picture/timthumb.php HTTP/1.1" 404 576 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" "-"
xx.xx.xx.159 - - [09/Aug/2016:13:36:22 +0800] "GET /Picture/timthumb.php HTTP/1.1" 404 174 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_3) AppleWebKit/601.4.4 (KHTML, like Gecko) Version/9.0.3 Safari/601.4.4" "-"
xx.xx.xx.130 - - [09/Aug/2016:13:36:50 +0800] "GET /Picture/timthumb.php HTTP/1.1" 404 576 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.157 Safari/537.36" "-"

还是比较疑惑,但是8月9号是七夕,有些私事在处理,很快恢复后也就没有继续跟进。

下午3点半的时候收到F4ther小童鞋的攻击报告,才意识到刚才那是攻击。虽然没有授权,但是F4ther小童鞋帮助我们发现了问题并且及时报告给我们,这里表示非常感谢,我们会赠送安全脉搏Tshirt和一定额度的奖金Bounty。

解析一下F4ther小童鞋对于后台管理员权限不能编辑模板插件:这个WordPress好像魔改的很厉害。。管理员权限没法访问编辑插件这类地方,所以没有拿到webshell,不过我已经很高兴了。

其实很简单wp-config.php里面设置

define('DISALLOW_FILE_EDIT', true );
define('DISALLOW_FILE_MODS',true);

就ok。

安全脉搏官方回应:

1.攻击时时刻刻都可能存在,也许你还自我感觉良好,以为自己很安全。攻击的思路和方向也有千千万,确实很难防范。我们知道自己做的还远远不够,仍然需要努力。那些业务线很长很长的大企业也需要警醒起来。

2.我们欢迎在不影响业务正常运行的情况下收到白帽子们的漏洞报告或者bug报告,这里非常感谢F4ther小童鞋提供的安全报告,让我们加强安全防护,更好的服务大众。

3.我们大概是国内首个公布自己漏洞的技术社区平台,我们秉承一直以来的高质量技术文章分享的初心,也愿意分享脉搏平台本身相关的安全威胁文章。我们承认漏洞并且公开攻击详情供大家学习参考。

4.面对域名商问题及小编安全意识问题及沟通问题,我们制定了紧急修复方案:

  • 1.后台管理员密码更改【ok】
  • 2.邮箱密码更改 【ok】
  • 3.虽然攻击者没有拿到webshell,我们仍然建议用户更改密码【continue】
  • 4.域名转入阿里云,设置隐私保护【continue】
  • 5.通知某域名商,修复漏洞,提高客服安全意识【continue】
  • 6.后台登陆接入多因素令牌扫码登陆【后续进度中】
  • 7.购买https证书,接入https。【后续进度中】

原文发布于微信公众号 - 我为Net狂(dotNetCrazy)

原文发表时间:2016-08-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

安全从业人员常用工具指引

简介 一直以来嫌麻烦没注册freebuf,总是以游客的身份在看一些东西,今天特此注册了一下,首先要表扬一下freebuf,安全验证比较给力,其次感谢平台收集并整...

5297
来自专栏安恒信息

明御邮件安全审计与风险预警平台璀璨首发

2017年国内外发生了一系列邮件不安全事件 ? 邮件安全分析 1.弱口令导致的账号冒用; 2.邮箱系统漏洞,包括Webmail跨站漏洞; 3.邮箱系统遭到攻击入...

4015
来自专栏FreeBuf

利用蓝牙从FUZE获取信用卡数据测试

这篇文章主要讨论关于FUZE Card智能卡的安全问题,这是一种带有蓝牙功能的可编程信用卡,它的大小跟普通信用卡一样,但FUZE可以取代至少30张信用卡,也就是...

1313
来自专栏农夫安全

幕后黑手it’s you?

“ 引言部分,总领全篇文章的中心内容。” 夜降临,忙绿了一天,危险漫步和大家也像往常一样,乘车回家休息。回到家中,像往常一样打开了计算机,浏览着网页,看到一...

3155
来自专栏数据和云

DBA生存警示:主备环境误操作案例及防范建议

编辑手记:对于资深的老DBA们,他们在漫长的职业生涯中养成了很多稀奇古怪的守则,以在复杂多变的环境中“幸存”,这源于无数血泪的教训,我曾经在《数据安全警示录》...

3557
来自专栏FreeBuf

跨平台后门Mokes现已加入OS X豪华午餐

近期,卡巴斯基实验室的安全研究人员发现了一种恶意软件,这种恶意软件可以在目前主流的几款操作系统平台上运行,包括Windows、Linux和Mac OSX。 根据...

1879
来自专栏安恒信息

域名劫持事件频发 网站安全形势不容忽视

  6月26日消息,近日,安恒信息风暴中心在日常监测中发现了多起国内网站域名解析地址跳转至美国或加拿大等国外IP的情况。安恒信息风暴中心对此异常行为进行深入分析...

4186
来自专栏嵌入式程序猿

制造商代码字段在J1939中的位置你搞懂了吗?

SAE 自推出CAN的高层协议,J1939标准后,在商用车,卡车,舰船,农机等上面应用非常广泛,标准要求每一个节点都有一个8字节的名字域,用来识别,其中有11位...

2314
来自专栏FreeBuf

技术讨论 | 一次尚未完成的薅羊毛行动

一、背景 XX眼镜,免费领取日抛5日装隐形眼镜活动,发现接收到的手机验证码为4位数字,看到4位验证码时就觉得有搞头。 顺便祝我伦生日快乐,等你下课~ 二、技术手...

2239
来自专栏安恒信息

2014网络安全APT攻击专题分析

1.警惕利用Bash漏洞的IRC-BOT 什么是Bash安全漏洞 继2014年4月的“Openssl心脏流血”漏洞之后,另一个重大互联网威胁于2014年9月24...

3216

扫码关注云+社区

领取腾讯云代金券