搜索
查看: 932|回复: 1

关于一个微博粉丝账号的故事

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2016-10-18 15:37:47 | 显示全部楼层 |阅读模式

 今天发现微博上有人收听,微博昵称和描述比较怪异,有个IP,好奇心驱使下就访问了那个IP,然后就有了这个故事,后来发现是个阿里的招聘活动,问了菊花,发现是他们搞的。。。浪费时间浪费青春。。。不过还是有很多地方值得我们学习,比如里面的思路,比如一个技术团队该有的技术气息!所以就把这件事情简单的描述下来了,email给部门全体小伙伴,一起学习一起进步。

0X01 邮件内容
hello everyone:

  分享给大家一个wargame,事情的起因是我今天发现微博上有个人收听了我,这个不是最重要的,重要的是他的名字和描述很奇怪。

  其中微博的简介看起来是个base64字符串,转换过来以后是:http://218.244.143.198/ ,开始以为只是个木马上线的地址,社交传播,后来右键源码发现并不是:

  打开看是个jsfuck转码,找官网(http://www.jsfuck.com/)解密得到:

  发现地址:218.244.143.198/.svn/,打开后发现403,根据svn文件结构,读取entries文件,发现提示:

  wc.db也是svn文件结构里的的文件(百度了一下才知道。。。),下载回来发现是个sqlite数据库,随便找个sqlite数据库管理软件打开,并发现一个php文件:

  在浏览器里打开:

  这类的登录框一般问题就有几种:注入、cookie的问题、http header、http response等的问题。试了一下,此处是代码注入:admin' or '1'=1

  得到了一个新地址并打开:http://218.244.143.198/zootopia/

  发现是个文件查看器,右键源码发现,输入密码后面那个input框里面带了一个value,32位的,猜测是个md5,扔到cmd5解密一下:

  果然是。。。解密出结果是:aliyun,填进文本框,之后下载了一个名为“c0ngrats.txt”的文本文件,打开:

  才发现是个招聘。。。。。其实刚才文件查看解出来就应该有一些觉悟了。。。。既然给了下一关地址那么就继续。。。下载backdoor.zip,解压,发现是个pcap数据包:

  使用wireshark打开,查看http的包,发现有个baskdoor.php是个一句话木马,里面有z0、z1、z2三个参数,hello引用了z0,z0 base64decode后发现引用了z1,


Form item: "z1" = "/var/www/html/dllm"

  z2两次base64 decode后发现一个新的地址:http://218.244.143.198/static/crackme
  crackme下载回来发现是个elf的linux可执行文件,ida打开,F5,找到逻辑伪代码:

  • secret1 = [ 0x73, 0x64, 0x66, 0x23, 0x6B, 0x6C, 0x25, 0x72, 0x29, 0x6B, 0x73, 0x6B ];
  • secret = [ 0x08, 0x45, 0x0A, 0x42, 0x4B, 0x31, 0x6D, 0x2F, 0x52, 0x0B, 0x16, 0x23 ];

  按照上面的逻辑,跟0xF异或之后,算出s得到:t.cn/RGRtojG,看url是腾讯的short url,访问之后得到:http://112.124.106.246/7fbde8d70c816033/

  访问上面得到的地址“http://112.124.106.246/7fbde8d70c816033/”发现是joomla,最近出现的joomla的漏洞就是ua处的反序列化了,之前在邮件列表里给大家分享过一个自己写的joomla反序列化插件:

  使用这个插件即可:

  发现虽然没有getshell,但是在response包里发现了一句话:

  至此,结束。
  后来发现出题人是一个认识的朋友,早在3月11日,就在知乎上有人写了一个“writeup”,不管目的,其中不少思路是值得我们学习的,还有一个技术团队应该有的技术气息。
知乎上的Wirteup:https://www.zhihu.com/question/41249758


0X02 叨咕两句
  技术团队需要“活力”,需要保持这种“活力”,保持那种持续探索的想法,要是真的到连想法都没有的时候,“那跟咸鱼有什么区别!”。赞一下aliyun的这个团队。


*本文为wooyaa原创,转载请提及wooyaa以及原文链接,其他均参照MIT协议。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?Join BUC

x
过段时间可能会取消签到功能了

2

主题

52

帖子

196

积分

我是新手

Rank: 1

积分
196
发表于 2016-10-19 09:38:08 | 显示全部楼层
看完了。但还要看一遍
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表