Select Browser Mobile | Continue

Silic Group Froum Archive - Silic Security

 Forgot Password?
 Join Us
Search
12Next
Threads List New Thread
Show: 3690|Reply: 30

[原创] [作战故事]我是如何黑掉习科管理员的[非标题党]

  [Copy URL]
Posted 2014-10-28 07:18:41 | Show all replies |Read Mode
真正的习科公司是个铁打的营盘,卧虎藏龙的高手非常多。真正专注技术的大神是极少抛头露面的,本文来自习科攻防团队某支渗透组大神的真实渗透记录。
习科的安全策略是由已入职微软MSE的Juliet规划的,整体安全性还是不错的,从创立至今有非常多的人想搞下习科,但Juliet的安全防护挡住了绝大部分人前进的脚步,一些安全策略从来只是被模仿和窃取,真正拿到权限的也只有在或者曾在习科攻防研究团队的几个大神而已。
作者:习科攻防 - Silic.Org - BlackBap.Org
不安全性因素大多是人为造成,本帖所述的内容也简明扼要的突出了这个问题。篇幅不长,花费大量精力和时间。

I. 死角
    墙角是积灰的地方,网络中也有积灰的死角。习科最坚固的可能是论坛,最脆弱的可能也是论坛。仔细查看习科论坛事务所,可以看到虽然习科论坛使用Discuz改进版,但是有很多人上报bug,早在2012年就在习科论坛上面报告了一些外面没有的DZ的bug。
    有些人注意到了,有些人没注意到。攻防研究团队中的技术员除了过硬的基础,还要有强大的信息分析能力,这一段就说说分布统计。论坛事务所大概有不到10个bug报告,其中7个涉及论坛,两个涉及MD5 Cracker系统,1个分站漏洞,N多改进建议,也是针对MD5 Cracker。有心人统计一下问题分布,很快就知道整个习科最脆弱的地方在哪里了。
    这类含有论坛敏感信息的帖子大都是设置权限的,阅读权限依次是核心、VIP、版主、超级版主、管理员这样升高,一般都要版主以上才能查看问题帖子,估计是“该做技术的做技术,该管论坛的管论坛”这个意思吧。
    继续集中看帖子,我们来说说论坛权限,2012年左右有一些人的账号被盗,据我所知其中包括1个超级版主,3个版主,数个VIP,N个普通会员,这些账号不是同时被盗,也不是被一波人盗取,采用的手段也不同,大多是因为没设置安全提问,被撞库或者暴力猜解出来的。盗号目的也是五花八门,有的为了看帖子,有的为了下裤子,还有的下了裤子为了去VIP账号里面找解压密码,cnseu还很火的时候有一个独家裤子就是有人上了VIP的账号挖到解压密码传出来的,只要有利益,道上的人可谓是无孔不入,大概是后来强制设置密码复杂性和安全提问以后就没再发生过严重的账号被盗事件了。
    话扯得有点远,习科搞圈子的当然是黑白两道都认识,而且路子非常广,想从地下渠道搞点东西很容易的。论坛有几个账号当年被盗的时候是实习小生,管理员当时也没有特别强硬的通知,后来实习小生成长为VIP再后来被委任版主超级版主。再再后来,道上的人开高价甩了两枚习科论坛高权限账号,一枚超级版主一枚VIP的,说是对外甩,其实都是被习科自己的人收回来了,大概这就叫所谓的买断吧。
    作为习科人,收回这些账号其实纯粹是不想让道上的人乱搞坏自己队伍名声,既不会上报也不会自己用,买回来就扔着。
    凡事都有但是,但是我想看一些高权限关于论坛管理的帖子的时候,我就悄悄的登陆了某个高权限账号,例如论坛事务所的一些bug的帖子。
给我关键性进展的帖子是这个发表于2012年的:《论坛bug!
    我一直琢磨着怎么能把论坛的问题和MD5 Cracker的问题结合到一起用,结果还真就有这么个帖子。来瞧瞧帖子的内容吧:

crack.png

楼主把问题写的很明白,利用搜索功能,可以预览一些本来无权的版块的帖子的内容。除了这个以外,DZ的分享帖子等功能都有预览无权帖子部分内容的bug,但是能根据敏感字把问题搞得这么彻底,搜索这部分还真是奇葩了。
II. 突破
    敏感帖子内容写的挺好,虽然是“临时”后台,但是,后台路径、账号、密码全都有。继续虽然,管理员会不定期更改基础认证的密码,继续但是,密码规律“crack”我们都懂得,。。。
    那么就顺着这条路继续突破吧。按尿性习科通常比较叼的认为会员里面,即使有知道后台密码的也不敢搞习科的,所以这个临时后台的一层密码几年压根没变过!“反正有人动后台就是你这货搞的,给你搞,搞完就去你家喝茶”,大概就是这个意思吧。
    密码虽然没变过,倒是后台“临时”变的多多少少正式了很多。功能越复杂,可以利用的地方越多,交互最多的地方要数这里了:

admin.png

前台用的<DIV>标签显示内容,后台用的<textarea>,没过滤什么内容,但是如果乱插内容,肯定会被发现。要想无痕往里插反正我是无解。
一直没想好怎么改。倒是刚好拿到手了一份内部调研报告给了灵感。

javascript.png

按尿性,MD5 Cracker万年不变的公告,管理员不会蛋疼的点开那个菜单的。索性就先不管后台,先把js直接插到前台,反正也没过滤,这里面javascript各种构造呀,恶补js编程。

III. 收尾
    在浏览器当中,如果将“<a>Silic</a>”进行url编码,再使用javascript在html的<script>标签中进行输出,网页上是会按“<a>Silic</a>”来输出的,右键查看源代码应该是js的代码,但像IE的F12调试模式里面,也都是按“<a>Silic</a>”来的。像一些支持框架的浏览器版本,调试时候也都是将完整的页面上显示的内容都嵌进去的。
    这里我分了两步完成的。
上步本来想细说,但是后来发现论坛已经有类似的帖子了:《APT持续性综合渗透经验谈第一讲 从Web到PC 1
下步需要贴出大量代码,以后会慢慢往外贴。简单说一下原理好了,我是受群里一个基友启发,群里的一个基友曾表示,DZ好像有个去权限是GET操作的,只要id对了,将这个地址作为图片放进DZ自带的img标签,浏览器访问的时候,如果管理员恰好在短时间内登陆了论坛后台,那么可能去掉权限或者给别人加上权限。
    虽然这个说法的真实性有待考究,但是有了Javascript的话,就不光可以GET了,还可以POST。
篇幅不长,但是耗时很久,内容真实,思路还可以,作为笔记给大家参考。

Rate

3

View all rate

Posted 2014-10-28 08:18:21 | Show all replies
简直吊爆了
Posted 2014-10-28 08:41:26 from mobile phone | Show all replies
学习学习  值得推荐
Posted 2014-10-28 09:01:31 | Show all replies
哇擦三楼,不应该啊。我都是先回复在看帖子的。
gch205 The user has been deleted
Posted 2014-10-28 09:13:38 | Show all replies
我都是看完帖子在回复的
yasmong The user has been deleted
Posted 2014-10-28 10:01:15 | Show all replies
这帖子好像在哪看过              
Wood The user has been deleted
Posted 2014-10-28 10:13:00 | Show all replies
小生来了~
AI0day The user has been deleted
Posted 2014-10-28 16:13:05 | Show all replies
前来报到。。。。。。
Gony The user has been deleted
Posted 2014-10-28 17:53:14 | Show all replies
简直 赞的 不能再赞 ~~~~大神 ~~~牛~
Posted 2014-10-28 18:17:08 | Show all replies

哈 你这个罪魁祸首
幽暗 The user has been deleted
Posted 2014-10-28 18:44:55 | Show all replies
学习学习  值得推荐
Mashimaro The user has been deleted
Posted 2014-10-28 20:44:24 | Show all replies
为何这么屌。。
我是一个小彩笔 The user has been deleted
Posted 2014-10-28 21:52:56 | Show all replies

为何这么屌。。
freshwind The user has been deleted
Posted 2014-10-29 10:35:01 | Show all replies
学习学习 很厉害呀。。。什么时候才能进入核心呢
Posted 2014-10-29 14:09:34 | Show all replies
尽管三石大大的帖子很长,确实是有价值的东东分析的彻底。
error The user has been deleted
Posted 2014-10-30 03:34:44 | Show all replies
跪着看完全贴
90czn The user has been deleted
Posted 2014-10-30 19:31:37 | Show all replies
虽然不知道你在说什么,但是感觉很厉害的样子。
dede The user has been deleted
Posted 2014-10-30 22:06:31 | Show all replies
啊,挺深的感觉啊,啊,看来,还不够努力,继续学习吧
Bluger The user has been deleted
Posted 2014-10-30 22:53:23 | Show all replies
吊炸天。。。
junzhepan The user has been deleted
Posted 2014-10-31 12:56:31 | Show all replies
好屌。。。。。。。。。。。。。。。。。。。。
12Next
Threads List New Thread
You need to login before reply! Login | Join Us

Credit Rules of This Forum

Close

公告Privious /1 Next

小黑屋|手机版|Archiver|Silic Security

GMT+8, 2017-2-27 16:56

© 2001-2014 Silic Corp.

Quick Reply Top Return List