关于一个微博粉丝账号的故事

admin

 今天发现微博上有人收听，微博昵称和描述比较怪异，有个IP，好奇心驱使下就访问了那个IP，然后就有了这个故事，后来发现是个阿里的招聘活动，问了菊花，发现是他们搞的。。。浪费时间浪费青春。。。不过还是有很多地方值得我们学习，比如里面的思路，比如一个技术团队该有的技术气息！所以就把这件事情简单的描述下来了，email给部门全体小伙伴，一起学习一起进步。

0X01 邮件内容

---

hello everyone：

  分享给大家一个wargame，事情的起因是我今天发现微博上有个人收听了我，这个不是最重要的，重要的是他的名字和描述很奇怪。

  其中微博的简介看起来是个base64字符串，转换过来以后是：http://218.244.143.198/ ，开始以为只是个木马上线的地址，社交传播，后来右键源码发现并不是：

  打开看是个jsfuck转码，找官网（http://www.jsfuck.com/）解密得到：

  发现地址：218.244.143.198/.svn/，打开后发现403，根据svn文件结构，读取entries文件，发现提示：

  wc.db也是svn文件结构里的的文件（百度了一下才知道。。。），下载回来发现是个sqlite数据库，随便找个sqlite数据库管理软件打开，并发现一个php文件：

  在浏览器里打开：

  这类的登录框一般问题就有几种：注入、cookie的问题、http header、http response等的问题。试了一下，此处是代码注入：admin' or '1'=1

  得到了一个新地址并打开：http://218.244.143.198/zootopia/

  发现是个文件查看器，右键源码发现，输入密码后面那个input框里面带了一个value，32位的，猜测是个md5，扔到cmd5解密一下：

  果然是。。。解密出结果是：aliyun，填进文本框，之后下载了一个名为“c0ngrats.txt”的文本文件，打开：

  才发现是个招聘。。。。。其实刚才文件查看解出来就应该有一些觉悟了。。。。既然给了下一关地址那么就继续。。。下载backdoor.zip，解压，发现是个pcap数据包：

  使用wireshark打开，查看http的包，发现有个baskdoor.php是个一句话木马，里面有z0、z1、z2三个参数，hello引用了z0，z0 base64decode后发现引用了z1，


Form item: "z1" = "/var/www/html/dllm"

  z2两次base64 decode后发现一个新的地址：http://218.244.143.198/static/crackme
  crackme下载回来发现是个elf的linux可执行文件，ida打开，F5，找到逻辑伪代码：

• secret1 = [ 0x73, 0x64, 0x66, 0x23, 0x6B, 0x6C, 0x25, 0x72, 0x29, 0x6B, 0x73, 0x6B ];
• secret = [ 0x08, 0x45, 0x0A, 0x42, 0x4B, 0x31, 0x6D, 0x2F, 0x52, 0x0B, 0x16, 0x23 ];
  

  按照上面的逻辑，跟0xF异或之后，算出s得到：t.cn/RGRtojG，看url是腾讯的short url，访问之后得到：http://112.124.106.246/7fbde8d70c816033/

  访问上面得到的地址“http://112.124.106.246/7fbde8d70c816033/”发现是joomla，最近出现的joomla的漏洞就是ua处的反序列化了，之前在邮件列表里给大家分享过一个自己写的joomla反序列化插件：

  使用这个插件即可：

  发现虽然没有getshell，但是在response包里发现了一句话：

  至此，结束。
  后来发现出题人是一个认识的朋友，早在3月11日，就在知乎上有人写了一个“writeup”，不管目的，其中不少思路是值得我们学习的，还有一个技术团队应该有的技术气息。
知乎上的Wirteup：https://www.zhihu.com/question/41249758

0X02 叨咕两句

---

  技术团队需要“活力”，需要保持这种“活力”，保持那种持续探索的想法，要是真的到连想法都没有的时候，“那跟咸鱼有什么区别！”。赞一下aliyun的这个团队。

*本文为wooyaa原创，转载请提及wooyaa以及原文链接，其他均参照MIT协议。

dawan

看完了。但还要看一遍