常言道,出來混總是要還的,看了烏云知識庫的《網絡小黑揭秘系列之黑產江湖黑吃黑 ——中國菜刀的隱形把手》一文,表示很震驚,網絡竟然是如此的不安全,無聊之下花了一周時間來調查360所說的“從公開的whois信息顯示,[email protected],同時,該郵箱同時還有注冊“maicaidao.me”這個域名。安全圈的朋友們一看這個郵箱,應該并不陌生,沒錯這個郵箱的主人正是某sec組織的成員之一,接下來的我們就不多說了,有興趣的可以自己去挖挖。”
估計很多朋友都很好奇是怎么拿下來的,這里大概介紹一下吧,希望能促進中國網絡安全的發展,為行業貢獻自己的一份力量。
首先抓包,為了避免程序會有各種檢測,流量鏡像到了wireshark,寫了個過濾只看HTTP協議,找到了收信的IP地址和域名,然后使用自寫的互聯網信息收集腳本,針對目標域名的IP整個C段,所有與收信涉及的域名都掃了子域名、端口和應用分布情況,郵箱等,并根據收集到的現有信息生成了一個字典規則等待后續針對性的爆破,恩,暫時只能這樣了,畢竟目標并不是大型企業,360天眼他們安全團隊也搞過應該知道該目標的難度,從整個數據流量中能夠留給我們的線索很少。
A、收集完信息分析發現,9128.cc和maicaidao.co域名指向的都是一個地址。
(歷史所有的9128.cc域名修改解析記錄)
(歷史所有的maicaidao.co域名修改解析記錄)
這下就基本上可以確定這個是個真實IP地址了,綁定HOST測試成功,直接繞過了cloudflare的云防護,這里又通過朋友打聽了解到23開頭的網段都是美國那邊的高防段,一般都是國內代理在淘寶等地銷售。
然后分析另外的一個域名的一些信息,又有一些新的發現,http://www.threatexpert.com/report.aspx?md5=4b4a956b9c7dc734f339fa05e4c2a990
(maicaidao.me相關的解析記錄)
(maicaidao.me相關的木馬報告)
看這個報告,原來老外拿這個中國菜刀木馬去分析了啊,可見其影響力!
B、在掌握了這些情況后花了2天時間對相關的IP所有C段的地址系統漏洞、WEB漏洞、包括自動化組合大小寫并且智能轉換成數字的弱口令都掃描了一遍,2天下來依然沒什么進展,應該很多朋友都去花了大量時間做過同樣的事情了,應該都是無功而返,看來只能社工了。。。
C、思考了好幾天,沒有太多頭緒了,抱著試試看的心態,用之前采集到的email結合自動生成的密碼庫去爆破ssl的imap,利用90sec的郵件用戶名,收集到的其他信息做好字典!!!!睡了一覺回到公司奇跡出現了!!! 爆破谷歌ssl imap 993,自動組合到了密碼“root90secfuckyou”爆破成功了!!
成功進入目標郵箱。
(目標gmail)
進去以后就看到了很多的godaddy郵件,這下不用說了,直接去重置。
(成功重置密碼進入域名管理界面)
(maicaidao.co域名指向了cloudflare)
進了這里以后還是不能夠確定最終的結果,分析該菜刀才是我們此次的目的,就必須要確認收信,想了一下最安全的是做反向代理來抓包,因為cloudflare做了cdn默認會隱藏源地址,管理員一時半會無法發現,就直接用gmail去找回,結果還真成功了,哈哈,運氣還是有點好。
(一款商業反向代理來可視化配置中間人攻擊源站)
為了調查這個箱子還廣大網友一個綠色安全的互聯網環境,花了點錢買了一款商業的反向代理來做此次抓包分析,替換返回包插入指定JavaSscript,這下每個請求該站點的人都會納入到我們的流量統計系統,以及cookies跟蹤系統來了。
苦苦等待了幾天一直沒有發現有任何管理員的痕跡,解析記錄什么的也是很久沒有變化了,倒是有很多post提交shell的數據包都提交到我服務器來了,每天保守估計得有幾千shell啊!
實在是無奈了,不過能夠看到很多白帽子的數據,只能感嘆這些人和我一樣無聊,害我每天要篩選有沒有管理員的足跡。
到這里又卡住了,思考了一下現在已經拿到的權限,進入腦洞模式,每天下班回家必須在公交車上坐兩個小時,一直發呆坐到家已是晚上八點了,匆匆吃完飯,買了一個短信網關的API接口,寫了個程序請求流量統計頁面自動過濾關鍵詞短信提醒,待我睡醒已是午夜2點,夜深人靜的時候思路總是格外的清晰,失望的看了一眼放在一旁的手機沒有一條短信過來,差不多已經放棄了這個思路了,清醒后的腦袋突然想到只急著登錄進入郵箱就找回密碼了,有這么多郵件,為什么我不去看看呢?
想到此刻,又登錄到這個郵箱,這個被360安全團隊戲稱“公開whois信息中域名注冊郵箱為[email protected]主人就是某sec組織的成員之一”的這個郵箱,我嘗試了很多次組合這個都一直沒有登錄到90sec,不知道為什么他們要這么說,挺無奈的,沒爆破出來也許是我的字典不夠強吧,那么好吧,我讓朋友幫忙到某系統里面查了一下登錄某sec網站的登錄數據包,然而并沒有找到相關注冊記錄,就因為這誤導我走了一天的彎路。在這個郵箱中,仔細的看了每一封郵件,不放過任何一個線索,天下武功唯快不破確實是真理,這幾天幾乎都沒有好好睡上一覺了,這個時候一封某IDC很久以前的一封郵件吸引我點開了它,但是現在不能確認目標的服務器就在這個IDC買的,用這個郵箱組織語言發了一封郵件給IDC的客服,等待回復,哈哈,經過確認這個服務器確實是在此IDC商購買的,那么又多了一條線索,順著這條線索摩擦摩擦。
在郵箱翻到的常用用戶名,又做了一次成功的密碼重置!登錄的IDC管理頁面,用開通的密碼去登錄無果,直接提交工單給IDC,要求IDC修改密碼,30分鐘可愛的IDC管理員就告訴我已經處理好了,真的是太happy了,當時真有一種跳起來的沖動,留下幾張最終結果圖。
(事實證明前期的信息收集踩點是多么的重要啊)
(留個紀念吧,也花了將近十天的時間不容易啊,今晚可以好好休息了)
(友情提醒一下大家不要再用網絡上的東西了,后門太多,這只是冰山一角) 為了互聯網的安全,為了各位的勞動成果不被別人所剝奪,長沙雨人網安團隊代表大家為民除害覆蓋式的刪除了170MB的文本文件,目測三百萬條shell,應該算國內最大的了吧。
本文寫到此主要是為了和大家一起分享一下一些經驗和滲透過程中的一些思路,主要是為了拋磚引玉,民間高手太多,此文發完繼續低調的打我的醬油,為理想夢想努力奮斗,希望有一些思路能夠為大家的工作提供幫助,也提醒大家盡量不要用別人的工具,在這個網絡中,看不見的硝煙戰斗每天都在持續,你看不見并不代表沒有發生,文中所說是互聯網真實的冰山一角黑幕之一,各位朋友各自保重。