安全矩阵

 找回密码
 立即注册
搜索
查看: 2636|回复: 0

记一次有趣的溯源

[复制链接]

65

主题

65

帖子

241

积分

中级会员

Rank: 3Rank: 3

积分
241
发表于 2022-5-3 20:03:09 | 显示全部楼层 |阅读模式
本帖最后由 PEnticE 于 2022-5-3 20:07 编辑

在某次攻防演练信息收集的过程中,偶然发现伪装Github信息泄漏进而钓鱼红队人员的后门。
下面展开有趣的分析溯源过程。
0x01 信息收集GIthub信息泄漏根据甲方信息进行常规的Github敏感信息收集偶然发现一个仓库不简单

这不是mysql账号密码泄漏了吗,愉快的打开Navicat

失败....于是访问源码的8080端口查看一番,发现一个管理后台

弱口令针对后台尝试一波弱口令,admin/admin 嗯~进来了

进来之后竟然发现账号密码而且客户端解压密码都贴心的放了出来

到这里我竟然没有察觉到任何异常,以为能够拿到VPN入口权限;抓紧下载VPN客户端。
解压出来这个样子,emmm。。还没发现异常

0x02 分析溯源还好有谨慎的习惯,放入虚拟机瞅瞅。
哦豁,竟然提示不兼容当前系统;看到弹窗有Pyhton代码编写的特征。感觉到前面的打点由过于丝滑,不自然的警觉了起来。
包括前面弱口令的提交方式竟然为admin.php?user=admin&passwd=admin

由于发现VPN客户端为python语言编写,更不对劲了,反编译看下。
解包python3 pyinstxtractor.py vpnclient64.exe

生成一个以 exe文件名+_extracted 的文件夹,这个就是解包后的数据


PyInstaller打包后,pyc文件的前8个字节会被抹掉,所以最后要自己添加回去。
添加头根据struct.py文件


源码得到py文件,easyvpn64.py为后门主程序,其中执行shellcode代码隐藏至图片中。

通过requests请求OSS存储中的图片,图片内容为shellcode加载器。

shellcodeLoader部分



  1. <code>import base64</code>
复制代码

知道shellcodeloader加载方式就好办了,提取CS回连地址。

溯源回连地址:Host: cs.xxx.cn
nslookup解析地址

根据IP地址定位在某宿舍

直接溯源到人,tg结合一波。

0x03 总结在攻防演练过程中一定要小心,防止被钓鱼。另外这个钓鱼的兄弟已经小本本记下了。。。
原文于:https://xz.aliyun.com/t/11275#toc-8
更多技术文章请关注公众号:猪猪谈安全
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-30 09:38 , Processed in 0.015132 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表