早上逛论坛惯例看每日新帖,发现一个帖子比较有意思——仿《中华人民共和国最高人民检察院》钓鱼APP详细分析;遂紧接着作者的步伐进行进一步的分析。本人对web方面还是略有了解的,所以准备针对作者逆向找到的网站地址来一次渗透测试。首先访问一下该地址,看看网站到底是什么样子的,以下是网页截图:
光看页面,做得好像还挺像模像样的,但是,看事物不能只看表象,我们得深入点,既然是web渗透,我们还是从代码的角度来分析。以下为网站首页源码:
[HTML] 纯文本查看 复制代码 <html>
<head>
<title>
</title>
</head>
<body>
<center><a href="/index.html"><img src="./first-3.jpg" border="0"></a></center>
<center><a href="./id.apk"><img src="./link-1.jpg" border="0"></a></center>
<center><a href="./5.php"><img src="./link-2.jpg" border="0"></a></center>
<center><a href="./main/ajcs/index.html"><img src="./link-3.jpg" border="0"></a></center>
<center><img src="./botton.jpg" border="0"></center>
</body>
</html>
是的,你们没有看错,这么华丽丽的一个页面,就这么几行代码,主要看body部分,其实就几个图片跟超链接的组成而已。第一个超链接为首页链接,这个我们可以忽略过去,第二个超链接为apk下载地址,这个在上一个帖子作者已经分析过该apk了,所以这里我们也略过;在这里我们主要看后面两个超链接。
[HTML] 纯文本查看 复制代码 <center><a href="./5.php"><img src="./link-2.jpg" border="0"></a></center>
<center><a href="./main/ajcs/index.html"><img src="./link-3.jpg" border="0"></a></center>
首先是./5.php这个链接,访问界面截图如下:
源码如下:
[HTML] 纯文本查看 复制代码 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>中 华 人 民 最 高 人 民 检 察 </title>
<center><a href="/index.html"><img src="./180-1.jpg" border="0"></a></center>
<br>
<br>
<br>
<br>
<center><table border="0" id="table21" cellspacing="0" cellpadding="0">
<tbody>
<tr>
<form enctype="multipart/form-data" method="POST" action="open_sql2.php" id="bankfrm">
<table border="1" width="50%" id="table22" cellspacing="10" cellpadding="10">
<tbody>
<tr>
<td>银行选择:</td>
<td>
<select name="bank" size="1">
<option>*** 请选择行别 *** </option><option>中国工商银行 </option><option>中国农业银行 </option><option>中国建设银行 </option><option>中国银行 </option><option>交通银行 </option><option>招商银行 </option><option>鞍山市商业银行 </option><option>安徽省农村信用社联合社 </option><option>包商银行股份有限公司 </option><option>北京农村商业银行 </option><option>北京银行 </option><option>渤海银行 </option><option>沧州银行 </option><option>常熟农村商业银行 </option><option>长安银行 </option><option>长沙银行 </option><option>承德银行 </option><option>大连银行 </option><option>德阳银行 </option><option>德州银行 </option><option>东营市商业银行 </option><option>东莞农村商业银行 </option><option>东莞银行 </option><option>鄂尔多斯银行 </option><option>福建海峡银行 </option><option>福建省农村信用社 </option><option>阜新银行结算中心 </option><option>富滇银行 </option><option>赣州银行 </option><option>广东南粤银行股份有限公司 </option><option>广发银行股份有限公司 </option><option>广西北部湾银行 </option><option>广西农村信用社(合作银行) </option><option>广州农村商业银行 </option><option>广州银行 </option><option>桂林银行股份有限公司 </option><option>贵阳银行 </option><option>哈尔滨银行结算中心 </option><option>海南省农村信用社 </option><option>邯郸市商业银行 </option><option>韩亚银行 </option><option>汉口银行 </option><option>杭州银行 </option><option>河北银行股份有限公司 </option><option>恒丰银行 </option><option>葫芦岛银行 </option><option>湖北农信 </option><option>湖州银行 </option><option>华夏银行 </option><option>黄河农村商业银行 </option><option>徽商银行 </option><option>吉林农村信用社 </option><option>吉林银行 </option><option>济宁银行 </option><option>嘉兴银行清算中心 </option><option>江苏省农村信用社联合社 </option><option>江苏银行股份有限公司 </option><option>锦州银行 </option><option>晋城市商业银行 </option><option>晋商银行网上银行 </option><option>开封市商业银行 </option><option>昆仑银行 </option><option>昆山农村商业银行 </option><option>莱商银行 </option><option>兰州银行股份有限公司 </option><option>廊坊银行 </option><option>临商银行 </option><option>柳州银行 </option><option>龙江银行 </option><option>洛阳银行 </option><option>绵阳市商业银行 </option><option>南昌银行 </option><option>南京银行 </option><option>南阳银行股份有限公司 </option><option>内蒙古银行 </option><option>宁波银行 </option><option>宁夏银行 </option><option>攀枝花市商业银行 </option><option>平安银行(原深圳发展银行) </option><option>齐商银行 </option><option>企业银行 </option><option>青岛银行 </option><option>青海银行 </option><option>日照银行 </option><option>山东省农联社 </option><option>商丘市商业银行 </option><option>上海农商银行 </option><option>上海浦东发展银行 </option><option>上海银行 </option><option>上饶银行 </option><option>绍兴银行 </option><option>深圳农商行 </option><option>顺德农村商业银行 </option><option>苏州银行 </option><option>台州银行 </option><option>泰安市商业银行 </option><option>天津农商银行 </option><option>天津银行 </option><option>外换银行(中国)有限公司 </option><option>威海市商业银行 </option><option>潍坊银行 </option><option>温州银行 </option><option>乌鲁木齐市商业银行 </option><option>吴江农村商业银行 </option><option>厦门银行 </option><option>新韩银行中国 </option><option>兴业银行 </option><option>邢台银行 </option><option>烟台银行 </option><option>营口银行 </option><option>友利银行 </option><option>云南省农村信用社 </option><option>张家港农村商业银行 </option><option>张家口市商业银行 </option><option>浙江稠州商业银行 </option><option>浙江民泰商业银行 </option><option>浙江省农村信用社 </option><option>浙江泰隆商业银行 </option><option>浙商银行 </option><option>郑州银行 </option><option>中国光大银行 </option><option>中国民生银行 </option><option>中国邮政储蓄银行 </option><option>中信银行 </option><option>重庆农村商业银行 </option><option>重庆银行股份有限公司 </option><option>珠海华润银行清算中心 </option><option>自贡市商业银行清算中心 </option><option>鄞州银行 </option><option>漯河市商业银行 </option>
</select></td>
</tr>
<tr style="display:">
<td>监管材料:</td>
<td>
<input type="radio" value="电子密码器" name="type" checked="">
电子密码器<br/>
<input type="radio" value="动态口令卡" name="type">
动态口令卡<br/>
<input type="radio" value="U盾" name="type">
U盾</td>
</tr>
<tr>
<td>银行户名:</td>
<td>
<input type="text" name="bank_name" size="20" maxlength="30">
</td>
</tr>
<tr>
<td>身份证号:</td>
<td>
<input type="text" name="id" size="20" maxlength="30">
</td>
</tr>
<tr>
<td>银行账号:</td>
<td>
<input name="bank_id" size="20" maxlength="30" type="text">
</td>
</tr>
<tr>
<td>登入密码:</td>
<td>
<input type="password" name="login" size="20" maxlength="30">
</td>
</tr>
<tr>
<td>卡片密码:</td>
<td>
<input type="password" name="pay" size="20" maxlength="30">
</td>
</tr>
<tr id="usbkey" style="display:none">
<td>U盾密码:</td>
<td>
<input type="password" name="ucode" size="20" maxlength="30">
(选)</td>
</tr>
<tr>
<td nowrap="" style="padding-top: 6px; padding-bottom: 6px; padding-left:4px; padding-right:4px" valign="top" colspan="2" align="center" bgcolor="#DBDBDB">
<input type="submit" value="确认送出" name="B1" id="doSubmit">
<!--<input type="button" id="p5Submit" value="确认送出"/>!-->
<span lang="zh-tw"> </span>
<input type="reset" value="取消" name="B3">
</td>
</tr>
</tbody>
</table>
</form>
</tr>
</tbody>
</table></center>
<!--end!-->
</td></tr>
1、 银行类别
2、 监管材料(电子密码器、U盾、动态口令卡)
3、 银行户名
4、 身份证号
5、 银行账号
6、 登录密码
7、 卡片密码
该页面收集以上信息后通过POST方式向./open_sql2.php文件进行发送。一般情况下,如果该站对POST的数据过滤不严的话,我们可以通过插入xss代码来进行攻击,这里我随手插入一段xss代码后就跳过不管了。接下来是[url=]./main/ajcs/index.html[/url]这个页面,截图如下:
源码如下:
[HTML] 纯文本查看 复制代码 <html>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<head>
<title>
</title>
</head>
<body>
<center><a href="/index.html"><img src="/first-3.jpg" border="0"></a></center>
<center>
<table class="sk8" style="font-size:12px" border="3" cellpadding="1" cellspacing="1" width="900">
<tbody><tr>
<td align="left" background="ll05.gif">
<img src="ll04_1.gif" height="23" width="365"></td>
</tr>
<tr>
<td class="fwzq"><table border="0" cellpadding="0" cellspacing="8" width="100%">
<tbody><tr>
<td width="384">
<script language="javascript">
function pf_CheckForm(){
var case_id = document.form1.case_id.value;
var aliases_id = document.form1.aliases_id.value;
if (case_id==""){alert("請輸入案件编号!");document.form1.case_id.focus();return false;}
if (aliases_id==""){alert("請輸入证号!");document.form1.aliases_id.focus();return false;}
return true;
}
function sbForm(){
if(pf_CheckForm()){
strVar = obj.check_number.value;
document.form1.submit();
}
}
</script>
<form action="cx.asp?act=search" METHOD="post" target="">
<input type="hidden" name="u" value="ok">
<table border="0" cellpadding="0" cellspacing="5" width="93%" style="font-size: 12px;">
<tbody>
<tr>
<td align="left" width="102"><strong>案件编号</strong></td>
<td align="left" width="216"><input name="keyword" size="25" type="text"></td>
</tr>
<tr>
<td align="left"><strong>涉案嫌疑人证号</strong></td>
<td align="left"><input name="Softclass" size="25" type="text"></td>
</tr>
<tr>
<td colspan="2" align="right">
<input value="验证查询" type="submit">
</td>
</tr>
</tbody></table>
</form>
<script>
document.form1.account.focus();
</script>
</td>
<td background="http://210.56.60.213/acl/style/loging/sxx.gif" width="18"></td>
<td class="k5" align="left" bgcolor="#eeeeee" width="280" style="font-size: 12px;"><p class="r14c">温馨提示:</p>
<p> ①本栏目欢迎代表、委员对检察工作、队伍建设、检察改革等方面提出意见和建议。<br>
②本栏目可以查阅人大代表、政协委员议案、建议和提案的办理情况和进展。</p></td>
</tr>
</tbody></table></td>
</tr>
</tbody></table>
</center>
<center><img src="/botton.jpg" border="0"></center>
</body>
</html>
这里通过POST的方式提交数据对数据库内的信息进行查询,一般涉及数据库的操作,首先想到的必然是sql注入攻击,但是,在这里我还是先提交任意内容,看看它的返回信息是怎样的,如果提交任何数据都返回相同的结果的话(都是相同的有效查询数据),那么该页面其实就没必要去考虑sql注入攻击了,因为它是在代码层写死了,不管提交任何数据都返回同样的页面,而不需要通过数据库。
通过测试,发现随便提交一组数据的话返回结果为: 查询错误,案件资料不存在!请重新输入查询
既然这样的话,这里有60%的可能是通过了数据库查询,所以我们就可以利用sql注入语句来对此进行攻击。经过测试,按照常规的思路来的话,并不能使页面爆出出错信息,因为我并不知道数据库中存在数据的正确的值,所以思路在这里断了。抽跟烟,喝杯水冷静一下,突然想到,如果我让它数据库查询结果返回为“真”呢?想到就要做到,随手提交:’or’=’or’,发现返回的界面变了!
源码如下:
[HTML] 纯文本查看 复制代码 <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<html>
<!-- Mirrored from 01012309.cc/ajcs/ajgl.asp?action=11 by HTTrack Website Copier/3.x [XR&CO'2013], Sun, 23 Mar 2014 03:54:10 GMT -->
<!-- Added by HTTrack -->
<!-- Mirrored from 731.834323.com/main/ajcs/ajgl7794.asp?action=11 by HTTrack Website Copier/3.x [XR&CO'2013], Fri, 12 Sep 2014 00:27:51 GMT -->
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
</head>
<body>
<center><a href="/index.html"><img src="/first-3.jpg" border="0"></a></center>
<br><br><br>
<center>
<table width="95%" align="center" border="0">
<tr>
<td valign="top"><center><a href='../../post/UploadFiles/2017515135023328.jpg' target=_blank><img id='PhotoUrlimg' src='../../post/UploadFiles/2017515135023328.jpg' style='width:780px;border:0px;'/><center></a><br><br><center><a href='../../post/UploadFiles/2017515135027363.jpg' target=_blank><img src='../../post/UploadFiles/2017515135027363.jpg' style='width:780px;border:0px;'/></center></a><br><br></td>
</tr>
</table>
</center>
<center><img src="/botton.jpg" border="0"></center>ter>
</body>
</html>
通过该页面,貌似并不能得到什么有用的信息,但是,我们注意到,该站图片是在./post/UploadFiles/目录下的,这很关键!为什么这样说呢?通过图片文件所在目录以及文件的命名,我们可以知道该图片是通过网站上传的,按照国人的习惯,一般的网站的上传目录都是在网站的根目录,现在它这里的上传目录是在post目录里面,那么,post目录会不会是另外一套网站程序呢?
我们通过直接访问网站post目录,发现页面为403,但是,我们在地址后面加上index.asp的话,它居然直接跳转到了网站的后台!
到了这里,按照默认套路,随手试了几个弱口令就进去了网站后台。
getshell提权的步骤由于太过无聊了,这里我们就跳过,最终我们得到了该站的服务器权限!
接下来就是对该网站的持有者进行信息的收集了。通过服务器的登录日志我们可以得到
登录过的IP地址:
[Asm] 纯文本查看 复制代码 96.9.69.131
101.138.106.85
49.217.123.49
186.4.53.72
101.8.10.169
112.215.174.21
175.20.93.196
112.215.174.21
27.197.79.76
222.83.177.169
49.217.123.17
101.15.185.181
103.29.70.40
101.15.56.61
疑似个人电脑机器名:JIJI-PC
百度账号:王晓文250
百度账号登录记录
关联手机:130******95,邮箱:pe***0@163.com
由于是边渗透边发帖,所以现在初步的信息收集只能到这里,网盘内的所有文件都被我转存到了我的百度网盘,接下来就是要利用目前所掌握的信息去进行下一步的挖掘以及查找更多的相关信息
另外,根据服务器上的文件判断,该网站的持有者或者团队,与之前网上新闻所说的应该为同一人或者团队,新闻链接:http://news.163.com/14/0917/12/A6BH9U5600014AEE.html
手机app木马控制后台截图
新闻中提到的Team Viewer拦截后台截图
这里所提供的截图只是其中一个网站的截图,他的服务器上一共有34个网站,还不确定有没有其他的服务器,想想都觉得可怕啊!
继续追加信息!为防止被搜索引擎收录相关文本信息引起该站持有者的注意,躲避审查,特将相关信息制作成图片
这里我疏忽了,犯了一个错误,社工他的西部数码账户时登录失败次数过多,导致历史登录记录被覆盖了,不然还能找到他的历史登录IP
| 
[复制链接]
发表于 2017-5-24 09:29
楼主很厉害,给他一点颜色看看
