请选择 进入手机版 | 继续访问电脑版

SSS安全论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

产品
产品
团队
团队
版规
版规
查看: 2208|回复: 23

那些年我们渗透过的灰鸽子官网丨数据公开

[复制链接]
  • TA的每日心情
    奋斗
    2016-7-14 17:48
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    发表于 2016-8-14 16:13:36 | 显示全部楼层 |阅读模式
    很久没有出来活动了,有些人可能已经忘了我们和灰鸽子的恩怨了。
    但,是,我,们,没,有,忘,记!
    http://bbs.sssie.com/thread-1101-1-1.html前因
    http://bbs.sssie.com/thread-1114-1-1.html后果
    http://silic.org/post/huigezi_vip_hacked_with_dumped_database 习科道展完整报道

    上次因为被灰鸽子骗了,所以全过程的思路分享并没有写出来。
    那么今天,我们来弥补掉这个遗憾。没错!灰鸽子再次沦陷。数据打包在文章结尾。
    踩点

    www.hgzvip.net ,域名注册人[email protected]
    www.huigezi.org,域名注册人[email protected]
    域名商PDR LTD. D/B/A PUBLICDOMA,曾经比中国万网还牛的国外知名域名商。想必客服质量特别高2333
    半年前,我们渗透的是www.huigezi.org  那么今天我们同样要渗透这个站点
    两个域名从注册人来看,明显是同一家公司。我们在查看同IP站点的时候两个网站并不在同一台服务器。
    这个时候,我们也不知道是不是同一个服务器,我们先进行前期信息收集。
    在使用人肉及密码库对比的时候,顺手进行简单的目录。
    在同服务器中找到http://renzheng.hgzvip.net/Login.aspx这个域名
    aspx写的,有点意思。更有意思的是这个网站下有一个备份http://renzheng.hgzvip.net/web.zip
    下载进行代码审计,由于还不是深夜,我们必须当成一场线上对抗赛,时不待我。
    前阶段渗透
    所以直接找可利用的地方上传,一般处理程序上传 ,会有个校验读取流长度来判断是否合法。 灰鸽子1.png



    这是校验的代码 ,绕过其实很简单
    找一个正常的图片附件一句话数据 改名字为.aspx即可上传
    前端有个校验
    [Java] 纯文本查看 复制代码
       var extStart = filepath.lastIndexOf(".");
                var ext = filepath.substring(extStart, filepath.length).toUpperCase();
                if (ext != ".BMP" && ext != ".PNG" && ext != ".GIF" && ext != ".JPG" && ext != ".JPEG") {
                    alert(msg + "图片限于bmp,png,gif,jpeg,jpg格式");
                    return false;
                }

    断点 ,改ext=”.jpg”  过了这个正则就好
    接着上传,查看源文件
    灰鸽子2.png

    会把文件路径丢回来 ,路径是用户名拼出来的 ,还会返回服务器路径,贴上上传的代码
    灰鸽子3.png



    因为直接审计了代码,所以我们认为没有什么技术难点了
    就这样可以轻松get一句话后门
    灰鸽子4.png
    没劲,真的没劲。这么简单的逼我们不装。
    半年前灰鸽子的负责人一开始低声下气求我们不要公开数据,后来说我们若公开用户数据后果自负。接着告诉我们会请高手来进行安全维护的加固。请我拭目以待。
    高手就是这样加固的吗?请问你请的手有多高!什么叫整体安全都不懂吗?

    但是!这里就结束了吗?不,是肉鸡还是数据,是仇恨还是装逼?请看下文2333
    密码学的不归路
    从这个webshell中得到一些有用的东西,例如数据库账号密码,允许外连是什么鬼?
    灰鸽子5.png
    还记得你们注册大明湖畔时给你们发邮件的夏雨荷吗?那么意味着我们是有可能找到给你们发邮件时的账号密码的。
    从图中我们可以看到该邮箱的电话号码,现在是凌晨四点,要不要打个电话过去聊表心意2333
    上次公开的用户数据加密方式是md5(md5($pass).$salt);Vbulletin;IceBB;Discuz,也就是大家熟知的Discuz加盐密文
    这种密文的碰撞成功率相比较普通的MD5加密要低很多,通常是弱口令才能解开。
    这一次的加密是NET对称加密
    灰鸽子7.png
    1.     SymmetricAlgorithm类
    SymmetricAlgorithm是抽象类,是所有对称加密算法的基类,该类定义的成员在其子类AES类中做介绍。
    具体更多的相关文献资料我们已在编写的程序中附带相关说明,请大家下载以后自行学习。
    灰鸽子8.png
    OK,密码学的东西就到这一步吧,至此数据库用户已是瓮中之鳖。
    用灰鸽子来秒杀灰鸽子
    如果只是拿个旁站,拿点数据,秒点系统。这不是我们的风格。
    灰鸽子9.png
    灰鸽子10.png
    之前我们提过权,其实不需要提权。夜深了,直接修改administrator密码,可惜刚刚登陆上去就挂。猜测是某个杀软IP限制。
    这里通过外连翻找目录找到主站。
    可惜没有权限,我们想了一下,要用最打脸的方式来干他
    去灰鸽子官网下载一个免费版配置之后,登录的账户就是利用旁站来注册然后开启的,配置完以后上传到旁站的upload目录利用1433高权限执行,到了早上,不出我们所料,果然上线!
    灰鸽子11.png
    上面又是云锁 ,又是安全狗 ,360的。。。好方!!!
    SSS安全论坛下载免杀一句话,传上去
    灰鸽子12.png
    至此主站沦陷
    灰鸽子13.png
    至于后续我们做了什么,什么源码啊,肉鸡啊,后门啊你们慢慢想!
    最后说一句啊:灰鸽子官方人员是能够控制购买他们程序的人,谁来监管灰鸽子呢?如果用来ddos会怎么样呢?
    真正的最后一句:爆菊需谨慎,蜜罐害死人

    用户数据、解密程序、相关文献资料尽在:http://pan.baidu.com/s/1i5Iz7Zv


    回复

    使用道具 举报

  • TA的每日心情
    擦汗
    15 小时前
  • 签到天数: 317 天

    [LV.8]以坛为家I

    发表于 2016-8-14 16:22:28 | 显示全部楼层
    我大sss牛逼,顶一个
  • TA的每日心情
    难过
    前天 11:44
  • 签到天数: 79 天

    [LV.6]常住居民II

    发表于 2016-8-14 16:24:43 | 显示全部楼层
    论坛页面好像乱了
  • TA的每日心情

    2016-9-4 14:38
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    发表于 2016-8-14 16:26:59 | 显示全部楼层
    ??????????
    回复

    使用道具 举报

  • TA的每日心情
    擦汗
    4 天前
  • 签到天数: 89 天

    [LV.6]常住居民II

    发表于 2016-8-14 16:34:41 | 显示全部楼层
    围观。。。。。
    回复

    使用道具 举报

  • TA的每日心情
    开心
    4 小时前
  • 签到天数: 336 天

    [LV.8]以坛为家I

    发表于 2016-8-14 16:40:06 | 显示全部楼层
    可以,这很sss,,这个故事告诉我们,一定要好好学代码
  • TA的每日心情
    难过
    2016-8-22 13:46
  • 签到天数: 13 天

    [LV.3]偶尔看看II

    发表于 2016-8-14 17:01:56 | 显示全部楼层
    好贴,mark
    回复

    使用道具 举报

  • TA的每日心情
    擦汗
    4 天前
  • 签到天数: 162 天

    [LV.7]常住居民III

    发表于 2016-8-14 17:09:18 | 显示全部楼层
    这很95
    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    4 天前
  • 签到天数: 95 天

    [LV.6]常住居民II

    发表于 2016-8-14 17:09:24 | 显示全部楼层
    不敢爆菊
    回复

    使用道具 举报

  • TA的每日心情
    无聊
    9 小时前
  • 签到天数: 218 天

    [LV.7]常住居民III

    发表于 2016-8-14 17:18:09 | 显示全部楼层
    服! 66666
    还是好友通知才过来看看
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    关注微信赢邀请码

    QQ|Archiver|手机版|网站地图|网页地图|SSS安全论坛 ( 黔ICP备15010987号  

    GMT+8, 2017-2-23 17:34 , Processed in 0.532446 second(s), 38 queries .

    Powered by SSS团队 X3.2

    © 2014-2015 Comsenz Inc.

    快速回复 返回顶部 返回列表