栏目导航: 首页 > 检测提权 > 提权渗透 > 内容

【技术分享】甲方安全日常之一场反击灰色产业链的暗战

www.hx99.net    时间: 2016-10-20    阅读: 次     整理: 华西安全网

 http://p6.qhimg.com/t010fa14cc94ddafe80.jpg

 

作者:Darker  

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

 

0x1起因

 


近期信息安全部收到公司某业务部门反馈,有部分用户账户被盗。

在分析登陆来源和账号异常行为后发现,被盗账户集中于某特定人群,全部用于电信诈骗相关的SEO,并且登陆来源存在共同点:用户都曾使用了某第三方工具 XX助手,历史登录ip中都存在一个可疑IP:117.158.x.x。

由此初步怀疑第三方工具泄露了用户密码,而可疑IP和这个第三方工具是否存在关系呢?

在可疑IP的8000端口上,我们发现一个CRM 系统,上面赫然写着XX助手CRM系统,同时发现一处路径泄露:

1
2
Fatal error: Uncaught exception 'Cola_Exception_Dispatch' with message 'Can't load controller:AController' in /export/webapps/crm.*.com/Cola/Cola.php:345 
Stack trace: #0 /export/webapps/crm.*.com/index.php(18): Cola->dispatch() #1 {main} thrown in /export/webapps/crm.*.com/Cola/Cola.php on line 345

而crm.*.com就是XX助手的官网域名,到这里似乎一切都很明朗了,然而这只是刚刚开始,剩下的就是通过我们的方式来探究背后的真相。


 0x2初探

 


针对117.158.x.x 的端口扫描:

1
2
3
4
5
6
7
root@~# nmap 117.158.x.x -p 1-65535 -Pn --open -A
      8000/tcp open http nginx 1.2.5
      8087/tcp open   http-proxy Privoxy http proxy 3.0.23
      9999/tcp open   http       Boa HTTPd 0.94.14rc21
      13306/tcp open   mysql          MySQL 5.5.29-cll
      17451/tcp open   microsoft-rdp  Microsoft Terminal Service
      33892/tcp open   microsoft-rdp  Microsoft Terminal Service

Port 8000

 http://p0.qhimg.com/t01172eb84e661980d9.jpg

无验证码,无登陆限制,top500人名+加弱口令,成功进入系统。

发现一处注入:

   http://p0.qhimg.com/t016d1f2f7a2fa758e9.png

current-user: php@10.110.30.74 root 权限。

读取网卡配置:SELECT LOAD_FILE('/etc/sysconfig/network-scripts/ifcfg-eth0')

    http://p6.qhimg.com/t01011009ef8f2c03fd.png

读取:/etc/passwd

     http://p5.qhimg.com/t01a0c6b68d351859d4.png

小结:

1.确定站库分离,web 服务器ip 10.110.30.74,db服务器ip 10.110.30.71

2.获取web系统管理员admin 密码:1

3.web系统为一个crm测试环境,数据库涉及多个库,根据/etc/passwd用户名中的test字段也可以判断数据库服务器同样为测试环境。

4.web系统有上传功能,但无法突破。

Port 8087:http-proxyPrivoxy http proxy 3.0.23

     http://p3.qhimg.com/t011b802e3aa6e4bb56.png

在浏览器设置代理,代理做了限制,能访问外网,为国外ip,无法访问内网。

Port 9999:http       Boa HTTPd 0.94.14rc21

    http://p0.qhimg.com/t016c372a6d57dc46a0.png

历史漏洞 CVE-2007-4915 针对版本Boa 0.93.15的401认证绕过、尝试exp,失败。

 Port 13306:mysql          MySQL 5.5.29-cll

通过注入点,获取mysql用户密码,*6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9

解密后获取一组账号密码php/123456 。可远程连接,方便了操作mysql数据库。

     http://p6.qhimg.com/t01b38062519c872483.png

 

Port 17451:microsoft-rdp  Microsoft Terminal Service

     http://p2.qhimg.com/t01945c337072ea6988.png

Port 33892:microsoft-rdp  Microsoft Terminal Service

     http://p2.qhimg.com/t01945c337072ea6988.png

从主机名可以看出均为远程终端服务从内网映射,且存在域环境。

通常情况下,我会使用guest/空口令进入远程桌面,尝试shift 后门或输入法漏洞。

http://p6.qhimg.com/t01767597e4a190d95c.png


 0x3  迂回

 


至此针对目标渗透陷入僵局。

根据路径泄露中的域名,收集了部分二级域名。

http://p8.qhimg.com/t01d671ce09feec0b4c.png

反查主站 42.51.x.x 上绑定域名:

http://p0.qhimg.com/t01ad7768c33d6a7544.png

目录扫描:pythonDirfuzz http://zhan.***.com/  php

[200]:http://zha*.***.com/index.php?g=System&m=Admin&a=index

      http://p6.qhimg.com/t01d5371090b39534fe.png

默认账号admin,弱密码字典爆破:

http://p4.qhimg.com/t01d9a01a44fd8f2f62.png

Intruder 爆破默认5线程。服务器不堪重任。放弃爆破。

Getshell:

确定为zhan.***.com 使用了开源的pigcms  3.0

在0x2中获取到的mysql数据库中,其中一个库名是pigcms。

定位管理表,查询管理密码。

http://p2.qhimg.com/t0197c778994fdbdc71.png

得到账号密码admin/ Pa$$w0rd

进入后台:

添加上传文件类型。

http://p4.qhimg.com/t015e6381782480dfe0.png

在前台调用kindeditor编辑器处上传webshell。

http://p6.qhimg.com/t0189ef05cf23779483.png

shell: http://zha*.***.com/uploads/u/umgrkt***26/4/*/0/1/56efbb05c3364.php

内网ip:10.100.10.54   

http://p0.qhimg.com/t01390087c2b0e239e8.png

在zha*.***.com shell 中/export/webapps/crm.***.com上发现与目标相似源码。

1. 尝试搜索exec,eval等危险函数。

2. 尝试搜索include类型函数,审计。

3. 搜索upload,filedow,readfile关键字,

 [/export/webapps/crm.***.com/views/]$ grep -rn "upload" ./*

   http://p8.qhimg.com/t01cd5e10a946c223c0.png

http://117.*.*.*:8000/contract/index

admin登陆后直接访问url.(此功能之前黑盒测试中前端没有显示)。

   http://p2.qhimg.com/t01b7b2b601b6fbc15d.png

上传功能无限制.

GetShell http://117.*.*.*:8000/data/upload/t.php

小结:1.根据路径泄露,确定了域名,寻找与目标相关的系统。

          2.获取相关系统权限,得到目标系统代码,白盒审计代码。

          3.通过上传漏洞,获取目标系统权限

 

0x4内网

 


reGeorg

http://p0.qhimg.com/t01218b28980da7ba53.png

顺手shell 之前的db服务器,出口同为目标ip。

http://p6.qhimg.com/t0180e296b3fb6170d8.png

部分内网端口扫描

http://p4.qhimg.com/t0108ad1dfd90d33fa4.jpg

内网web系统居多,大部分存在漏洞。

发现zabbix,版本3.0

http://p5.qhimg.com/t01844a61110cb88302.png

http://p1.qhimg.com/t018a78d1f68fd466bb.png

http://p8.qhimg.com/t01bb9881729ef1e861.png

{+} Zabbix Account    :  Admin:c33367701511b4f6020ec61ded352059 (md5)

Admin/654321

http://p2.qhimg.com/t01198da5403848a27c.png

至此,内网主机已如探囊取物。

 

0x5真相

 


1、可以确认目标ip 117.158.x.x为该公司的出口ip之一。

2、通过此服务器上的代码、日志和部分数据库内容,确认了XX助手明文存储了账号密码和token的行为。

3、在存储的账号信息中,同时也发现了百度、搜狗等厂商相关的用户密码、token等敏感信息。

代码:

http://p3.qhimg.com/t01c5f9d408d5db84ad.png

数据库:

http://p0.qhimg.com/t01d2d82930de87d526.png

日志文件:

http://p1.qhimg.com/t0147d6d07decc6058a.png

 

0x6总结

 


部分外挂性质的工具以封装厂商业务接口的形式引导用户在第三方登录,使用这种工具隐藏着巨大的安全隐患。

类似文中案例,第三方工具有能力主动记录使用者的明文账号密码,即使没有主动记录,在工具服务端访问日志中同样会留下相关的数据。而这些工具的经营者基本都不具备完善的安全意识和措施来存储这些敏感数据,出现内鬼,甚至被黑客攻破,用户都将面临密码泄露的危险。

另一方面,恶意经营者往往会在软件中植入木马后门,用来收集用户隐私信息,盗取账号及敏感信息,甚至用来进行违法活动。

作为厂商,如何做好风控,如何有效识别用户异常行为并及时帮助用户止损,业务安全任重道远。


http://p0.qhimg.com/t01f61186d5d54202e2.jpghttp://p8.qhimg.com/t01cc5d036b04c82003.jpg

 

本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/learning/detail/3118.html

本文来源:华西安全网[http://www.hx99.net]
发表评论】【告诉QQ好友】【错误报告】【加入收藏】【关闭