自稱世界上最權威監控軟體FlexiSpy被黑刪庫，怎麼做到的？

FlexiSpy是什麼

FlexiSpy是一款非常知名的手機、電腦監控軟體，也就是我們常說的遠控。

4月22日，Tek在推特聲稱竊取了FlexiSpy的源代碼和二進位文件。

4月24日，Flexidie?在推特公布了入侵FlexiSpy公司的細節，下文是嘶吼編輯的全文翻譯。

入侵細節分析

第1步：信息收集

查詢子域名

192.168.2.231 portal.vervata.com n58.137.119.230 www.vervata.com n180.150.144.84 api.flexispy.com n180.150.144.84 admin.flexispy.com n180.150.144.83 affiliate.flexispy.com n180.150.144.83 affiliates.flexispy.com n180.150.144.83 blog.flexispy.com n180.150.156.197 client.flexispy.com n180.150.144.82 community.flexispy.com n58.137.119.229 crm.flexispy.com n54.246.87.5 d.flexispy.com n216.166.17.139 demo.flexispy.com n180.150.144.86 direct.flexispy.com n180.150.144.85 ecom.flexispy.com n54.169.162.58 log.flexispy.com n180.150.147.111 login.flexispy.com n68.169.52.82 mail.flexispy.com n68.169.52.82 mailer.flexispy.com n180.150.144.86 mobile.flexispy.com n180.150.156.197 monitor.flexispy.com n180.150.144.87 portal.flexispy.com n68.169.52.82 smtp.flexispy.com n180.150.146.32 support.flexispy.com n75.101.157.123 test.flexispy.com n180.150.144.83 www.flexispy.comn

發現伺服器位於Cloudflare後面，這就比較尷尬了。因為Cloudflare帶有WAF，沒法進行掃描、爆破等自動化的滲透。

但是發現了一個域名，是http://admin.flexispy.com。可能是一個管理面板。

嘗試sql注入

在登錄頁面上嘗試了一些sql注入，沒發現問題。

之後嘗試了下常見默認密碼，admin:admin，測試的時候發現驚喜，是的，就這樣登錄進去了。

但是這個賬戶登錄之後有限制, 無法使用。通過後台頁面查看發現某個頁面可以於查看用戶詳細信息，包括許可證詳細信息以及編輯用戶詳細信息（如用戶名、密碼等）的功能。

網址如下所示：

https : //admin.flexispy.com/secure/employee/editEmployee?employeeId=1n

這個頁面存在平行越權漏洞，只需將id = 1更改為id = 2，就能顯示另一個用戶的詳細信息，並允許在界面上重置密碼。

於是我寫了個腳本，指定id值的範圍是1-99999，把遍歷結果存儲為文本文件。搜索下有沒有感興趣的用戶，倒是找到了那麼幾個，但是沒太多用，對FlexiSpy啟不到致命的打擊。

第2步：繼續打破邊界

之前收集信息發現了兩組IP，用nmap掃描。

58.137.119.224 - 58.137.119.239 n202.183.213.64 - 202.183.213.79n

有幾台伺服器運行著ssh服務，還有一個Microsoft Exchange伺服器和一些開放著rdp服務的伺服器，以及運行著WildFly(Jboss)默認頁面的網站跟CRM網站。這些信息收集表明，FlexiSpy內部網路里有Linux和Windows，不過這時候我沒有訪問許可權，還需要繼續看。

發現有個伺服器上開放了埠8081，似乎是一個Sonatype Nexus存儲庫，其中存在一些jar文件，可能是用於命令和控制Web應用程序。或許裡面存放的文件是FlexiSpy故意放著的，以便其客戶安裝？

我下載了一份，並使用procyon(Java反編譯器)開始逆向查看審計java代碼。

我下載了幾個有趣的公共項目，第一個是他們的Mailchimp API密鑰，可以看到他們向新客戶發送的電子郵件（他們鼓勵客戶改變默認密碼）。

這個密碼看起來應該是共享的默認密碼：tcpip123。我嘗試用這個密碼登錄ssh、WildFly，但是沒有成功。

最後我決定試試登錄CRM，效果很贊，登錄成功了並能操作某些模塊的安裝，最終上傳了shell。

https://bitbucket.org/mstrobel/procyon/wiki/Java%20Decompilern

第3步：內網滲透

通過第2步拿到的webshell，我們已經進入到了FlexiSpy的內部網路。

拿到的主機許可權是低許可權，內核版本較新，可以使用DirtyCow提權，但是許多公開的漏洞利用風險較高，更可靠更穩定的方法是創建與CRM伺服器相同的虛擬機，這將需要很長的時間。

放棄了以上的方法，我通過代理進入內網，把一個埠掃描器跟弱口令掃描放在伺服器上，開始掃描22、3339和23埠。

我做的第一件事是部署SSH掃描器，來測試root:tcpip123、admin:tcpip123和Administrator:tcpip123等簡單組合。

通過掃描，我拿到了三台NAS伺服器，都是Linux x86-64機器。之後把自己寫的工具上傳到其中的一台伺服器，繼續搜集內網的信息。通過幾天的分析，我發現了備份主目錄、HR文檔、公司文件、一些SSH密鑰、密碼備份、內部網路圖等等。大多數文件已經過時，但是我將密碼/用戶名組合，收集到了幾個具有sudo許可權的伺服器（services:tcpip123 and services:**tcpip!23）。

我從其中一台伺服器竊取了SSH密鑰，對Jenkins伺服器進行了控制，將所有存儲庫下載回來，並將其發送到隨後控制的互聯網上的伺服器上。

我留意到現在可以訪問所有Windows域的域控制器，於是開始刪除了一些惡意軟體，並慢慢從入侵到的設備中從內存中提取憑據。這些憑證中的一個屬於IT負責人員，這使我能夠訪問內部SharePoint伺服器。

到目前為止，我認識到FlexiSpy的安全就是胡扯。為了儘可能多地提供不同的訪問點，我將Tor安裝到Linux基礎設施部署，將每個伺服器的SSHd設置為隱藏服務。我儘可能地離開，停止幾個星期滲透，嘗試從Exchange Server傳輸EDB文件，這些文件的大小超過了100GB。最終，我嘗試多次滲透他們後放棄了，因為我覺得如果繼續弄，FlexiSpy會發現。

第4步：格式化FlexiSpy數據

格式化內部伺服器；之後通過從SharePoint、NAS設備和其它地方拿到的賬號密碼登錄Cloudflare，刪除了他們的帳戶；後登錄到Rackspace，註銷其伺服器；並登錄到他們的多個Amazon 帳戶，刪除了亞馬遜雲服務上的備份。

攻擊手法還原

1.老外通過Sonatype Nexus下載到文件，逆向文件，找到了一個密碼

2.通過拿到的密碼進入登錄CRM，獲取到了webshell

3.內網滲透，搞定了源代碼。

本文翻譯自https://pastebin.com/raw/Y1yf8kq0，如若轉載，請註明原文地址：t自稱世界上最權威監控軟體FlexiSpy被黑刪庫，怎麼做到的？ 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：