写这篇文,主要想以日记的形式记录下我在整个测试(gongji)过程中的
心路历程、所用技术、填的坑等等。。
为了让文章显得不那么呆板,不那么流水,我尽量使用一些文艺点的词汇。
9月份的广州,一天天总是有雨。
我呆坐在华工图书馆里,望着窗外灰蒙蒙的天,湿漉漉的地,还有对面心情略显阴
沉的小W。
我很清楚她为什么心情不好,作业被老师刁难谁会好受呢。
本着一份打抱不平的心,我百度了下老师提到过的一个她有注册的网站,点击uri的一瞬间,
一个精致的页面展现在我的眼前。
大致的看了一下站点的基本讯息,注册人数大概有3万左右,算是个有些规模的网站了,
果断进入注册页面注册了一个账号。
那么接下来是根据PTES标准测试流程的
第一步,开始信息搜寻、收集了;
我默默打开nmap,键入域名踏上了这条漫长的Web漏洞分析之路。
首先nmap 扫出来是这样的:
看到这就明白了,收不收集信息什么的其实已经是无所谓了,菜菜如我的手中不可能握有apache抑或nginx的0day。
whois,nslookup的返回结果的意义也不是很大。
所以,通过Web对系统进行分析是唯一的出路了:)
所以渗透测试中的每一步都是极其灵活的,要依具体情况具体决定。
想到这里,让我们直接进入第二步: 威胁建模
这第二步听上去比较高大上,实际上即是从第一步获取的信息中对系统有个
比较详细的了解,从而确定最行之有效的攻击路线。
对于我的目标站点而言,唯一行之有效的攻击路线在于利用Web漏洞进行渗透(其他端口没开嘛= =)
于是,我们进入正题:
漏洞分析
在我们的常规认知中,Web漏洞是服务器软件自身的漏洞,一个应用软件自身出问题和整个系统出问题
相比,其影响应当是很小的。然而随着Web技术的不断发展,Web渐渐成为了服务器上最为核心的应用,
服务器最有价值的部分不再是昂贵的硬件和所需的人力物力资源,而是上面存储的用户数据、应用、以及
大量的用户。
对于Web漏洞,许多人也认为,通用的漏洞扫描器、网站防火墙、IDS等可以防御掉大部分攻击,因此不必
太在意Web服务上出现的漏洞。 从我自身而言,我比较反感使用自动化的漏洞扫描程序,寻找漏洞,更多
的时候所依靠的是一种感觉,基于技术和经验的感觉。
于是我开始手动地在网站上面进行测试。登陆了刚刚注册的账户之后,借着BurpSuite的站点地图功能,
我开始在各个存在id的地方手工注入测试是否存在Sql注入,找了一圈累的要死还没有结果。
然后我把注意力转向找回密码功能,网站向注册用户邮箱发送了带随机数生成的idtoken,完美,无解。
紧接着我又把目光投向了遍历目录、越权访问url,文件上传等,皆无功而返。
疲惫的我几乎已经要放弃这个对这个网站的渗透了,突然想起来,这几天不是一直在看XSS么。
可是XSS又有什么用,好像除了弹个框,获取一下cookie信息也无其他了。
但是毕竟也算是漏洞啊。。找找看吧。
如果只能找到反射型神马的,那就让我去睡觉吧。
突然,一个页面引起了我的注意-
站内信这种类似邮箱收发功能的应用,会不会存在XSS神马的呢?
在正文处,我想尽各种办法的键入都被过滤掉了。
即便从编码等角度入手,想尽办法把一个标签安插进去,都无能为力。。
就在我要关电脑走人的时候,突发奇想地我把一段JS嵌入到了站内信的主题位置:
这一次,img标签居然变成了一个带叉号的图标,这意味着,我的标签被页面嵌入了!
但是alert(/XSS/)被过滤成了Alert(/XSS/)。。
这个过滤也是让我非常无奈,于是果断eval(String.fromCharCode(97,xxx)),
紧接着,一个/XSS/字样的框弹了出来。
问题是,然后呢?
所有的XSS攻击,都是针对特定的用户实施的,比如,可能会访问某个被注入页面的一些用户,
这样所能造成的攻击效果一定是比较low的,除非这个网站包含什么敏感信息。
不管怎么说,现在终于有了一个注入点,我果断地将代码修改成:
每当有一个用户点击他的信箱时,该js就会被执行。
果断地在myserver.com用nodejs搭起了一个小接收器,测试了一下,cookie飞过来了。。
这说明,网站没有对cookie设置Http-Only属性,让我的js轻易地获取到了,那么下面要做点
事情了。
返回用户个人信息的页面,我大致地浏览以下,有工作单位,专业,学位之类的信息,但是最下面的
一行内容引起了我的兴趣:
F12看一下后台,SHA1的加密。这基本等同于把明文密码放到了用户页面上,拥有cookie就等于拥有
了密码???真是天助我也!
不管了,我立刻抄起python写了一个提取这个页面密码的脚本。
提起爬虫,感觉突然间有了思路:如果爬虫带着cookie遍历一遍整个网站自然没什么意义,我随便注册一个
用户也可以;但是如果带着别人的cookie(即冒充其他用户)通过站内信以同样的方式发送XSS脚本给这个人的朋
友,然后爬虫再带着这个人朋友的cookie(即冒充他)给他的好友发送同样的内容,这样不用很久,除了不使
用站内信的人,基本每个人的信箱里都有那么一封信,只要打开信箱,就会发送自己的cookie到我的服务器
同时给他的朋友发送这封信!
这不就是蠕虫了吗?(后面的事情的发展证明,菜如我并不知道什么才叫蠕虫,为什么不用js去写,而非用myserver上的python脚本呢。。我到现在也不明白自己当时是怎么想的。)
于是我飞快的引入了requests库,构建带cookie爬虫的基本请求;
引入socket,建立nodejs与python进程的通信管道;
把从nodejs那里得到的字符串切割分离包装成字典装入requests;
构建目标URL表单;
用bs4、正则匹配所有我需要的内容,把内容包装好放入mongodb或者post数据表单中,
一切都进行地井井有条。
正在我快速完善着这只伪装成爬虫的蠕虫的时候,一个念头突然闪过:myserver.com是我的ali云服务器,
就这么直接暴露在js代码里,那岂不是被人群起而攻之?可是不用myserver又如何获取cookie呢?
机智如我想到:如果在拿到cookie的一瞬间,爬虫就直奔站内信把所有含有我的代码的信件全部删除!无论
是收件还是发件,正常人用浏览器看页面一般是不会第一次就查看源代码的吧,然而他看到我那封站内信
只有一次机会。F5刷新之后,一切都恢复了正常,除了他发给他朋友的信件以及留在我server里的SHA1过
的密码。
但是删除的逻辑并不是那么容易模仿的,我快速地敲击着键盘,键盘发出悠悠的蓝光,抬手一看表,丫的
四点了!
//这只爬虫/蠕虫挂在了Github-WebCralwerOrXSSWorm
打了个哈欠,果断睡觉了。
第二天下午,又是大雨天。
睡了一上午的我,揉着疲惫的眼睛又坐在了电脑前。再次审视我的爬虫/蠕虫,虽然是仓促而成,但也初具规模了,
一想起我那爬虫作蠕虫的思路,就觉得自己很机智有木有。的确,只需要给人气最高的1-2个用户发送这封内容为
“老师我想与你探讨个问题”的邮件,他们在点击自己站内信箱的一瞬间,他的所有好友就都得到了同样的邮件,
最后谁能搞清楚谁是第一个发送的呢?而且这可是神奇的邮件,一被点击就会消失的邮件。
下午17:29分,攻击开始。
我最后检查了一遍爬虫脚本,将其上传至myserver.com, 同时配置好了nodejs-server.
我的小爬虫/蠕虫会有什么样的表现呢?
我用昨天注册的账户登陆了网站,在推荐用户中选择了人气最旺的几位用户,就让他们帮我传播这封邮件吧!
在发送邮件的同时,我快速切出终端,输入npm start ; python Listener.py
然后静静等待着。
没错,邮件已经送达。一个用户已经开始查看了!我看到一个cookie显示在python这边的输出意味着他已经获取
到了cookie,下面就开始发送邮件然后删除信箱内的邮件,再然后,获取密码并写入数据库。
我双手托腮,静静地看着cookie一个一个跳出来。。。
就在这时,脚本突然中断了!一个错误提示跳出来,指明某变量为空。紧接着,这只爬虫如同
泄了气的皮球,整个停滞下来。
我。。。怎么会?脚本输入的cookie都是固定格式的,因此在处理输入变量异常等错误时我也没有考虑
太多,难道有人手动get那个脚本?看到nodejs那边还在继续运行,我飞速地重启了两边的程序,重新
使他们建立了链接。看到cookie又开始在屏幕上出现,我舒了一口气。
然而没过多久,同样的事情又发生了。
nodejs还在接受cookie,然而python脚本已经死掉了!
我想,这下完了。很多邮件已经发送到了victim的朋友的邮箱里,然而爬虫/蠕虫阵亡了,谁去处理
并删除那些邮件?
我又一次飞速地重启了两边的脚本,结果这次nodejs和python都在空转,接收不到值了。
我呆滞地坐在屏幕前,开始不着边际地想,是被对面有高手反黑了吗额?我的myserver.com还安全吗?
我的实验室还安全么?会不会马上就有人来送快递了丫的。
愣了几秒后,我快速关闭了两边的脚本,删除了服务器上的日志,灰溜溜地下了线。
一看表,时间是18:20,距离攻击开始过去了大概50分钟。
我又重新连回myserver.com,看了下mongodb里面的情况,的确拿到了一些cookie,然而,不多。
我从里面挑选了一个研究生的hash密码,放到网上,秒解。小写字母+数字,6位。登陆了他的站内信,
我惊奇地发现他的站内信里面有大量的主题是一幅坏掉图片的邮件!!我快速F12下进去看了源码,
不是我的js代码。
我一下明白了,他很可能是网站管理员,并且已经发现了这次攻击的具体情况!
不得不说,反应够快,才50分钟而已,一切都在他的掌控之中了。
我在他站内信里留了一封邮件,阐明了我测试的目的和我发现的漏洞,以及我的qq。
几分钟之后,他加了我,我们聊了聊。他告诉我,他们网站的IDS发现了你的服务器的异常行为。
我这才明白过来,是爬虫访问频率过高,导致我的行为被IDS侦测到了!
我当初为什么要用python写这个爬虫啊!这根本不是什么蠕虫,就是个不停拿各种cookie在发送
请求的爬虫。。。
回想过来,我这次攻击的最大缺点是,相当于把所有流量都重定向到了myserver.com,不仅加大了
被发现的概率,同时也提升了利用漏洞的难度。
其次,脚本的容错性太差,试想一个要publish的软件,能动不动就趴窝么?
再有,隐蔽性不够好,虽然利用了学校里其他位置的主机和服务器,但不还是在学校里么。。
优点在于,拿爬虫当蠕虫这个思路比较新颖把。。。如果算的话。。
我诚恳地道了歉,并且详细地说明了漏洞的情况,对方也很慷慨地原谅了我。
我真的挺感谢这位管理员的,按道理说他完全有理由给我送快递。。
而且他对攻击的反应速度,证明了他业务的熟练能力。
雨刚过的路上还是湿的,我默默地走在去饭堂的路上。周围喧闹的人群中,我低下头,发现了一只超级大的蜗牛。
他好像很艰难地在人群中爬着,周围人似乎都没有看到他。
我默默捡起这只巨大的蜗牛,把他放到了花坛边。