Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:15724 篇
已收录公众号数量:90 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
网安寻路人 网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
铸剑靶场-电诈网站靶标渗透实战讲解
本文来自公众号:Secquan圈子社区   2019.10.16 17:03:05




铸剑靶场 是首个依托于一线实战人员社区生态使“靶场-职业”形成良性互补的人才培训体系。它不但可以帮助用户循序渐进的掌握各种网络实战攻防技术,同时也是一个可以完全真实模拟生产环境,通过真实打击内网靶机,破除眼高手低的魔咒,实现真正的技术提升。

悬剑-单兵武器库,是铸剑靶场的好伴侣;铸剑靶场架设仿真环境,悬剑实操击打靶标,可以无缝的将靶场的技术储备能力转换到实战中来。


本文作者为铸剑学院学员,也是是一位优秀的网安基层民警 ID:sea


以下为正文





这次我们实战的是铸剑靶场中的“高级实战-诈骗网站渗透取证”课程。 在课程页面中生成虚拟机地址后,第一步我们要做的就是信息收集,通过收集到的信息,结合悬剑单兵武器库中的各种工具进行下一步的渗透测试。


信息收集


首先我们使用悬剑武器库中的nmap对目标主机 http://192.168.6.202 进行扫描,发现对方只打开了80,22端口,如图




22端口经过测试不是弱密码,于是我们用Firefox打开目标站点,如图


可以看到网站模仿的还是比较逼真的,通过手动浏览网站,我们可以发现只有红色字体的连接没有跳转到其它服务器上,其它连接都跳转到真实的网站。点击红色字体进入页面,如图



如上图横线上的url地址为诈骗网站的页面,箭头所指的表单里应该就是记录了所有受害者信息,等我们拿到webshell就可以通过这个表单找到所有受害者的详细信息了。点击网上安全监控软件下载回来的是TeamViewer远程控制软件,目的是通过诱骗等等方式控制受害人电脑进行远程转帐等操作。点击连接检察业务-侦查监督,如图



这里我们进行手工验证两个表单是否存在sql注入,通过验证这两个表单不存在注入。此时想到有可以查询受害者信息的前台地址,那么就一定有一个后台是添加受害者信息的,我们使用悬剑武器库中的御剑WEB目录扫描优化版对后台地址进行扫描,可以得到后台地址为http://192.168.6.202/admin,此后台使用的是ecshop系统,如图。


右键查看源代码如图

点击js/validator.js查看此js信息如图


再次确定cms系统名称,于是直接百度下载一套ECSHOP CMS回来目前我们还不清楚目标所使用的版本但不管怎么样先下载一套源码回来可以得到网站目录一些信息,如图。


我们下载华军的版本为2.7.3,下载回来后打开压缩包可以看到目录信息,如图


点击进入upload目录



再次验证目标网站是否使用ECSHOP系统,我们在域名后面加上api回车,可以看到如下信息,如图



网站直接把目录里的文件也显示出来了,这可能是骗子对apache配置不当造成的目录遍历漏洞,正好给我们利用的机会,在目标网站里有一个文件gooos.php,这个文件在程序源码里是没有的,为了确定ecshop系统确实没有此文件,我们在百度下载其它版本的源码,也没有发现有此文件,仔细观察红线上的时间可以确定gooos.php文件创建或修改的时间和网站其它文件不是同一时间,那么gooos.php很有可能是网站创建之后有人创建的,我们点击此文件访问,如图


显示都是空白,此时渗透攻城狮大胆猜想此文件为黑客所创建,可能是一句话木马,一个合格的渗透者必须注意一切细节,接下来为了验证自己的猜想,使用burpsuite尝试爆破这个一句话木马的密码。如果此文件真的是一句话木马,攻城狮只要破解了密码就拿到了目标的webshell权限。


爆破一句话


操作如图,打开悬剑武器库中的burpsuite工具,如图




先设置代理端口点击Proxy-Options如图代理端口为8080


打开悬剑武器库中的chrome浏览器,使用Proxy SwitchyOmega设置代理,如图


当Proxy SwitchyOmega的插件图标显示为蓝色表示代理设置成功。

设置好代理后,按F12显示hackbar工具栏,打勾 Enable Post data 地址栏填写 http://192.168.6.202/api/gooos.php 内容填写 a=phpinfo(); 点击Execute,如图


在弹出 burpsuite 窗口中点击 Intercept,右键-Send to Intruder,如图



点击Intruder栏Positions 选项,再点Clear清除参数,如图


选中a点击Add$,添加一个参数,如图


转到Payloads配置选项点击Load载入D:\悬剑武器库\字典目录\爆破字典\webshellPassword.txt,如图

点击 Options 配置 20 个线程,如图



全部配置完毕后点击 Intruder-Start attack 开始攻击如图

很快字典就跑完了,之后通过判断返回包长度我们来确定哪一个密码是确定的,如图


把chrome的Proxy SwitchyOmega插件选为直接连接后,验证一句话密码 pass 如图

可以确定之前我们的判断是正确的,此时我们成功拿下目标的webshell,之后就是取证的事情了。

取证


通过菜刀连接一句话,找到配置文件如图

得到了mysql的帐号密码之后进入数据库查看后台信息如图


配置好数据库后查看管理员信息表,如图


得到了后台的帐号密码还有上次登录的ip地址,之后通过cmd5网站破解 admin2 的帐号登录后台,如图


登录后台,如图


到此我们已经成功将该诈骗网站拿下,可以收工了。


总结

看到网站地址后要想到的就是收集信息,这是任务渗透开始的第一步。

通过扫描端口发现目标只开放了80端口,之后我们通过网站的80端口收集信息。

在通过后台的源码js里发现了后台所使用的cms信息,之后下载了相应的源码系统,通过对比源码发现了网站目录下一个名称诡异的文件,在看到此文件日期后果断对此文件用burpsuite进行一句话木马测试,最后成功拿到目标webshell。

最后进行取证工作。


铸剑-云靶场是一个活生生的平台。技术再好,过时无效,靶场再贵,难光阴;铸剑靶场根植行业前沿技术生态,不断更新,引流实战潮流!配合悬剑单兵武器库,天衣无缝!

本文作者为一位网安执法者 ID


欢迎关注 圈子社区官方公众号,

不花钱,不求人、获得最新职业红队资源!


公益,鲜活,专业


关于圈子社区:

我们是一个非盈利,封闭的白帽子技术交流社区。目前成员2000+,拥有业内首个自主研发的红蓝实战靶场(公安部已列装),体系化学习和燃爆的交流气氛助你成为真正的大佬,社区专注实战,崇尚技术,如果你也是实战派,请关注我们。

社区地址:(请使用https访问)

https://www.secquan.org


好看你就 点点