投稿作者：夜無(wú)名

• 事情起緣

事情起緣于上周的一個(gè)無(wú)聊的周末，周末總是無(wú)聊而又乏味，好基友每周也準(zhǔn)時(shí)約我吃雞，可奈何我這個(gè)窮逼買！不！起！號(hào)！怎么辦呢？對(duì)！卡盟，隨便百度了一個(gè)某某卡盟，果然里面各種各樣的游戲的賬號(hào)都有，而且大部分的都是黑號(hào)，至于什么是黑號(hào)就不多說(shuō)了（像這種倒賣黑號(hào)的也是一條產(chǎn)業(yè)鏈），就隨便下了個(gè)訂單。

果不其然，并不是簡(jiǎn)簡(jiǎn)單單的直接發(fā)賬號(hào)密碼給你，而且還需要你下載所謂的登錄器，有些安全意識(shí)的朋友都知道陌生可執(zhí)行的文件千萬(wàn)不要隨便去運(yùn)行。

下載下來(lái)后，AV軟件不出所料的報(bào)紅了。

可是我頭鐵啊，不慫！直接解壓添加白名單一氣呵成運(yùn)行軟件，運(yùn)行后我傻眼了，what？？軟件居然在跟遠(yuǎn)程服務(wù)器做交互。

起初我以為這只是單純的從遠(yuǎn)程服務(wù)器上下載賬號(hào)所需的文件而已，大家都知道當(dāng)steam在新的一臺(tái)電腦上登陸的時(shí)候是要登陸驗(yàn)證的，其實(shí)這類的繞過(guò)驗(yàn)證的原理也很簡(jiǎn)單，steam登陸的時(shí)候在根目錄產(chǎn)生了兩個(gè)文件類似于cookie，估計(jì)是那些盜號(hào)者通過(guò)不為人知的手段盜取到號(hào)者的秘鑰文件然后統(tǒng)一到遠(yuǎn)程服務(wù)器，在然后下載到本地替換文件從而到達(dá)了繞過(guò)驗(yàn)證的操作。

確實(shí)，這臺(tái)服務(wù)器只是簡(jiǎn)單的儲(chǔ)存賬號(hào)的秘鑰文件，可是！！可是！！登陸授權(quán)軟件這個(gè)小碧池背著我又偷偷的在后臺(tái)搞小動(dòng)作，還好AV軟件給我及時(shí)的攔了下來(lái)，省去了進(jìn)一步對(duì)軟件行為的分析。居然!在Windows的目錄下生產(chǎn)個(gè)shell文件夾，里面還是有一套ms17-010工具，嗯？給你錢了還要搞我一波內(nèi)網(wǎng)？這誰(shuí)樂(lè)意啊。

• 信息探測(cè)

由于前面已經(jīng)抓到了該軟件跟服務(wù)器交互的ip，既然是跟盜號(hào)有關(guān)的我第一個(gè)念頭想到的就是威脅情報(bào)，直接把該ip丟到了微步在線的威脅情報(bào)看看能不能找到什么線索，果不其然在五月份的時(shí)候就有用戶標(biāo)記出了此IDC服務(wù)器是用于steam盜號(hào)的，且爆出了疑似該服務(wù)器的所有者的一些聯(lián)系方式。

雖然得到了一些可能跟該服務(wù)器有關(guān)的一些信息，或許這些信息對(duì)后續(xù)需要爆破時(shí)制作密碼表是有一定的幫助的，爆破屬于后續(xù)且咱們現(xiàn)在還對(duì)該服務(wù)器一無(wú)所知，還不清楚開放了哪些端口提供哪些服務(wù)，廢話不多說(shuō)上nmap一頓掃描再說(shuō)。

Nmap -sV -Pn -O -A 4x.xx.xx.95,得到以下信息，中間件使用的是Apache2.4.39版本，服務(wù)器是Windows server 2008 R2，且開放的web端口是90,1433的mssql數(shù)據(jù)庫(kù)端口也是對(duì)外網(wǎng)開放的（這里我們可以結(jié)合上面得到的信息制作密碼表對(duì)數(shù)據(jù)庫(kù)進(jìn)行爆破）。

上面只是對(duì)該服務(wù)器的一些端口信息初步的探測(cè)，接下來(lái)咱們?cè)谟胣map自帶的漏洞腳本進(jìn)一步對(duì)主機(jī)的漏洞進(jìn)行探測(cè)，nmap –script=vuln 4x.xx.xx.95這里是利用nmap腳本對(duì)目標(biāo)主機(jī)進(jìn)行檢查是否存在常見的漏洞，且如果存在漏洞nmap也會(huì)給出相應(yīng)的cve編號(hào)，然后咱們?cè)诶胟ali自帶的metasploit滲透框架進(jìn)行對(duì)應(yīng)的cve編號(hào)搜索驗(yàn)證利用。

很遺憾，這里就探測(cè)出了一個(gè)有cve編號(hào)的漏洞cve-2014-3566,該漏洞是屬于ssl3.0的信息泄露漏洞可進(jìn)行中間人攻擊，這里咱們就不深入研究了（實(shí)際利用的可能性不大）。

那么接下來(lái)就讓我們看看該主機(jī)所開放的90端口都有什么web服務(wù)吧，如果是采用cms套件搭建的網(wǎng)站那對(duì)于我們后續(xù)進(jìn)一步的滲透可能會(huì)有所幫助，可遺憾的是該主機(jī)所能訪問(wèn)的web端口并未建立起任何的服務(wù)。難道真的只能通過(guò)爆破1433數(shù)據(jù)庫(kù)了？爆破成不成功先不說(shuō)，爆破所花費(fèi)的時(shí)間也是大量的，且直覺(jué)告訴我，這臺(tái)服務(wù)器應(yīng)該只是提供賬號(hào)秘鑰的存儲(chǔ)與下載，就不花費(fèi)太多的精力在上面了。

• 柳暗花明

正當(dāng)我一籌莫展的時(shí)候，思路又回到了起始點(diǎn)，該授權(quán)登錄器我還沒(méi)好好的去分析呢，起初只是通過(guò)殺毒軟件的攔截簡(jiǎn)單的進(jìn)行判斷而已，正好微步在線有個(gè)虛擬沙箱，扔進(jìn)去跑一邊看看。果然是盜號(hào)軟件，赤裸裸的按鍵記錄行為。

接下來(lái)在看看該盜號(hào)軟件的執(zhí)行流程，發(fā)現(xiàn)該軟件釋放出來(lái)的子程序還有跟另一臺(tái)服務(wù)器有HTTP交互，且該服務(wù)器上的Windows.zip文件正是那套ms17-010的內(nèi)網(wǎng)掃描工具。

這里直接抓到了有交互的web端口，咱們?cè)L問(wèn)之….看看病毒傳播者是用什么容器來(lái)搭建的web服務(wù)，用的是HttpFileServer v2.3 b 271 隨波漢化版，隨而網(wǎng)上查閱了相關(guān)的資料，發(fā)現(xiàn)該版本存在高危遠(yuǎn)程代碼執(zhí)行漏洞隨即進(jìn)行了驗(yàn)證，由于驗(yàn)證時(shí)使用了shutdown -s -t 1導(dǎo)致了服務(wù)器關(guān)機(jī)，后面估計(jì)病毒傳播者發(fā)現(xiàn)自己服務(wù)器被搞了就下線了該服務(wù)，更多詳細(xì)的步驟也沒(méi)能及時(shí)截圖下來(lái)。（關(guān)于HFS的分析可參考安天實(shí)驗(yàn)室發(fā)布的文章https://www.antiy.com/response/hfs.html）。

• 拿下權(quán)限

服務(wù)器關(guān)停了一天，不過(guò)這樣也好至少市面上的軟件無(wú)法從服務(wù)器上下載惡意軟件進(jìn)行傳播了，我以為此事到這來(lái)就要結(jié)束了，可誰(shuí)曾想網(wǎng)站又重新開起來(lái)了，只不過(guò)換了另一種搭建服務(wù)器。這刺眼的phpinfo.php想都不用想百分之百是用PHPstudy搭建的。

Phpstudy?這讓我不禁想到了個(gè)把月前爆出的后門事件，也是妥妥的屬于高危遠(yuǎn)程代碼執(zhí)行漏洞啊。至于phpstudy后門事件我這里也不多說(shuō)了，就簡(jiǎn)單的說(shuō)一說(shuō)所可能存在后門的特性。

后門代碼存在于\ext\php_xmlrpc.dll模塊中的，這里我們可以打開phpinfo.php文件通過(guò)瀏覽器Ctrl+f鍵快速的搜索查看是否它調(diào)用了xmlrpc這個(gè)模塊。

果然是有調(diào)用這個(gè)xmlrpc模塊的，我估計(jì)這個(gè)病毒的傳播者并不是很關(guān)注安全這一塊的，前面的hfs早在15年就爆出有遠(yuǎn)程執(zhí)行漏洞，現(xiàn)在重新搭建了服務(wù)還是有后門的(不禁笑出了聲，可見關(guān)注安全情報(bào)的重要性)，接下來(lái)就是驗(yàn)證漏洞后門是否可以利用了，咱們先用火狐瀏覽器對(duì)他簡(jiǎn)單的抓包在重新構(gòu)造數(shù)據(jù)包發(fā)送看看。

因?yàn)楹箝T的特性所以需要對(duì)構(gòu)造的惡意代碼echo system(‘whoami’);進(jìn)行besa64編碼才可執(zhí)行成功。

然后發(fā)完包后再點(diǎn)擊重新發(fā)包后的連接查看所有返回的響應(yīng)頁(yè)面，果不其然的成功執(zhí)行了whoami命令已可以確認(rèn)該phpstudy是存在后門的。

為了能更直觀的展現(xiàn)出來(lái)也為了方便，咱們用burp來(lái)抓包發(fā)包，設(shè)置好到burp的代理后刷新一遍就可以抓到瀏覽器的發(fā)包了，在然后Ctrl+r發(fā)送到burp的Repeatr測(cè)試發(fā)包，這里試試net user的命令看看都有哪些用戶。

命令一樣的執(zhí)行成功了，在systeminfo看看系統(tǒng)的信息……過(guò)了許久服務(wù)器終于回包了，居然安裝了330個(gè)補(bǔ)丁包?。?！估計(jì)是關(guān)他服務(wù)器時(shí)感到了警覺(jué)把能打的補(bǔ)丁都打上了吧，可他萬(wàn)萬(wàn)沒(méi)想到漏洞不是出在系統(tǒng)的。

接下來(lái)在netstat -an看看都開了些什么端口，好對(duì)下一步進(jìn)行工作有幫助，果然是控制肉雞的服務(wù)器，大量的ip跟服務(wù)器的8000端口有tcp流量。

為了不引起管理員的警惕這里使用net user administrator看看管理員賬號(hào)上次的登陸時(shí)間是多少然后我們?cè)谔砑幼约旱馁~號(hào)進(jìn)去，這里算是個(gè)小技巧吧不像第一次驗(yàn)證漏洞的可用性時(shí)直接把人家機(jī)子給關(guān)機(jī)了，八點(diǎn)的時(shí)候登陸的，現(xiàn)在已經(jīng)凌晨了，估計(jì)管理員已經(jīng)睡覺(jué)了可以放開手去干了。

之前net user的時(shí)候有mysql這個(gè)賬號(hào)那么我們就新建個(gè)mysq1的賬號(hào)把L模仿成數(shù)字1，或者可以在賬號(hào)后面加個(gè)$用于隱藏賬號(hào)，這樣至少在管理員粗心的情況下新建的賬號(hào)能存活一段時(shí)間。

萬(wàn)事具備只欠連接端口了，嘗試了一下默認(rèn)端口3389發(fā)現(xiàn)連接失敗，我估計(jì)可能是管理員修改了默認(rèn)端口，沒(méi)事，上nmap來(lái)一波-p 1-65355端口掃描，把所有開放的端口都給它掃出來(lái)，可以看到原有的3389被管理員修改成了33890。

開啟小飛機(jī)代理連接之…….成功拿下病毒代理服務(wù)器。

翻了翻資料，目前已經(jīng)盜取到了1061個(gè)吃雞賬號(hào)。

盜號(hào)的太可惡了，把他的遠(yuǎn)控馬全給下了也把盜到的賬號(hào)數(shù)據(jù)也給清空了，最后留張圖清日志走人。

注：任何未經(jīng)授權(quán)的入侵都是違法的，本文只供參考與學(xué)習(xí)！