中国菜刀仿冒官网三百万箱子爆菊记

0x00 前言


常言道,出来混总是要还的,看了乌云知识库的《网络小黑揭秘系列之黑产江湖黑吃黑 ——中国菜刀的隐形把手》一文,表示很震惊,网络竟然是如此的不安全,无聊之下花了一周时间来调查360所说的“从公开的whois信息显示,[email protected],同时,该邮箱同时还有注册“maicaidao.me”这个域名。安全圈的朋友们一看这个邮箱,应该并不陌生,没错这个邮箱的主人正是某sec组织的成员之一,接下来的我们就不多说了,有兴趣的可以自己去挖挖。”

估计很多朋友都很好奇是怎么拿下来的,这里大概介绍一下吧,希望能促进中国网络安全的发展,为行业贡献自己的一份力量。

0x01 信息收集


首先抓包,为了避免程序会有各种检测,流量镜像到了wireshark,写了个过滤只看HTTP协议,找到了收信的IP地址和域名,然后使用自写的互联网信息收集脚本,针对目标域名的IP整个C段,所有与收信涉及的域名都扫了子域名、端口和应用分布情况,邮箱等,并根据收集到的现有信息生成了一个字典规则等待后续针对性的爆破,恩,暂时只能这样了,毕竟目标并不是大型企业,360天眼他们安全团队也搞过应该知道该目标的难度,从整个数据流量中能够留给我们的线索很少。

0x02 综合检测过程


A、收集完信息分析发现,9128.cc和maicaidao.co域名指向的都是一个地址。

(历史所有的9128.cc域名修改解析记录)

(历史所有的maicaidao.co域名修改解析记录)

这下就基本上可以确定这个是个真实IP地址了,绑定HOST测试成功,直接绕过了cloudflare的云防护,这里又通过朋友打听了解到23开头的网段都是美国那边的高防段,一般都是国内代理在淘宝等地销售。

然后分析另外的一个域名的一些信息,又有一些新的发现,http://www.threatexpert.com/report.aspx?md5=4b4a956b9c7dc734f339fa05e4c2a990

(maicaidao.me相关的解析记录)

(maicaidao.me相关的木马报告)

看这个报告,原来老外拿这个中国菜刀木马去分析了啊,可见其影响力!

B、在掌握了这些情况后花了2天时间对相关的IP所有C段的地址系统漏洞、WEB漏洞、包括自动化组合大小写并且智能转换成数字的弱口令都扫描了一遍,2天下来依然没什么进展,应该很多朋友都去花了大量时间做过同样的事情了,应该都是无功而返,看来只能社工了。。。

C、思考了好几天,没有太多头绪了,抱着试试看的心态,用之前采集到的email结合自动生成的密码库去爆破ssl的imap,利用90sec的邮件用户名,收集到的其他信息做好字典!!!!睡了一觉回到公司奇迹出现了!!! 爆破谷歌ssl imap 993,自动组合到了密码“root90secfuckyou”爆破成功了!!

成功进入目标邮箱。

(目标gmail)

进去以后就看到了很多的godaddy邮件,这下不用说了,直接去重置。

(成功重置密码进入域名管理界面)

(maicaidao.co域名指向了cloudflare)

进了这里以后还是不能够确定最终的结果,分析该菜刀才是我们此次的目的,就必须要确认收信,想了一下最安全的是做反向代理来抓包,因为cloudflare做了cdn默认会隐藏源地址,管理员一时半会无法发现,就直接用gmail去找回,结果还真成功了,哈哈,运气还是有点好。

(一款商业反向代理来可视化配置中间人攻击源站)

为了调查这个箱子还广大网友一个绿色安全的互联网环境,花了点钱买了一款商业的反向代理来做此次抓包分析,替换返回包插入指定JavaSscript,这下每个请求该站点的人都会纳入到我们的流量统计系统,以及cookies跟踪系统来了。

苦苦等待了几天一直没有发现有任何管理员的痕迹,解析记录什么的也是很久没有变化了,倒是有很多post提交shell的数据包都提交到我服务器来了,每天保守估计得有几千shell啊!

实在是无奈了,不过能够看到很多白帽子的数据,只能感叹这些人和我一样无聊,害我每天要筛选有没有管理员的足迹。

到这里又卡住了,思考了一下现在已经拿到的权限,进入脑洞模式,每天下班回家必须在公交车上坐两个小时,一直发呆坐到家已是晚上八点了,匆匆吃完饭,买了一个短信网关的API接口,写了个程序请求流量统计页面自动过滤关键词短信提醒,待我睡醒已是午夜2点,夜深人静的时候思路总是格外的清晰,失望的看了一眼放在一旁的手机没有一条短信过来,差不多已经放弃了这个思路了,清醒后的脑袋突然想到只急着登录进入邮箱就找回密码了,有这么多邮件,为什么我不去看看呢?

想到此刻,又登录到这个邮箱,这个被360安全团队戏称“公开whois信息中域名注册邮箱为[email protected]主人就是某sec组织的成员之一”的这个邮箱,我尝试了很多次组合这个都一直没有登录到90sec,不知道为什么他们要这么说,挺无奈的,没爆破出来也许是我的字典不够强吧,那么好吧,我让朋友帮忙到某系统里面查了一下登录某sec网站的登录数据包,然而并没有找到相关注册记录,就因为这误导我走了一天的弯路。在这个邮箱中,仔细的看了每一封邮件,不放过任何一个线索,天下武功唯快不破确实是真理,这几天几乎都没有好好睡上一觉了,这个时候一封某IDC很久以前的一封邮件吸引我点开了它,但是现在不能确认目标的服务器就在这个IDC买的,用这个邮箱组织语言发了一封邮件给IDC的客服,等待回复,哈哈,经过确认这个服务器确实是在此IDC商购买的,那么又多了一条线索,顺着这条线索摩擦摩擦。

在邮箱翻到的常用用户名,又做了一次成功的密码重置!登录的IDC管理页面,用开通的密码去登录无果,直接提交工单给IDC,要求IDC修改密码,30分钟可爱的IDC管理员就告诉我已经处理好了,真的是太happy了,当时真有一种跳起来的冲动,留下几张最终结果图。

(事实证明前期的信息收集踩点是多么的重要啊)

(留个纪念吧,也花了将近十天的时间不容易啊,今晚可以好好休息了)

(友情提醒一下大家不要再用网络上的东西了,后门太多,这只是冰山一角) 为了互联网的安全,为了各位的劳动成果不被别人所剥夺,长沙雨人网安团队代表大家为民除害覆盖式的删除了170MB的文本文件,目测三百万条shell,应该算国内最大的了吧。

0x03 结语


本文写到此主要是为了和大家一起分享一下一些经验和渗透过程中的一些思路,主要是为了抛砖引玉,民间高手太多,此文发完继续低调的打我的酱油,为理想梦想努力奋斗,希望有一些思路能够为大家的工作提供帮助,也提醒大家尽量不要用别人的工具,在这个网络中,看不见的硝烟战斗每天都在持续,你看不见并不代表没有发生,文中所说是互联网真实的冰山一角黑幕之一,各位朋友各自保重。

©乌云知识库版权所有 未经许可 禁止转载


30
hicode 2016-03-21 19:11:08

@Her0in 感谢!

30
DeadHeartGrass 2016-03-16 09:43:36

难怪,最近咋那么多DDOS。。。。。。。。。。

30
tk 2016-03-12 03:08:15

邮箱密码太简单了,有点运气

30
tSt 2016-03-11 00:38:25

mark

30
xcrypt 2016-03-10 19:07:53

感谢作者的分享,其中爆破gmail的步骤有疑惑,gmail允许爆破的?
我测试了几个gmail帐号,尝试了几十个密码就都提示
[ALERT] Web login required: https://support.google.com/mail/answer/78754 (Failure),不能继续了

30
nauscript 2016-03-10 15:32:39

精彩!

30
Mr.xt 2016-03-10 08:38:43

mark

30
乌云大嫖客 2016-03-09 13:13:12

楼主出门记得戴帽子

30
Taro 2016-03-09 10:18:03

300W shell 多少钱啊

30
小白G 2016-03-08 20:49:48

黑阔 请收下我的膝盖

30
色豹 2016-03-08 09:21:48

太nice了~ 2016感动中国人物提名加上你吧

30
齐迹 2016-03-08 09:21:02

一大波黑阔盯着楼主,保重!

30
AlexsITlab 2016-03-08 01:37:34

6666666~~~

30
Jirairya在看书 2016-03-08 01:25:29

可啪

30
努力成为无线狗的web狗 2016-03-08 00:59:49

待我shell300万,姑娘嫁我可好

30
水泥中的鱼 2016-03-07 23:06:34

两个没有说啊,一个是怎么查的历史dns信息,是楼上说的那个付费服务么
另一个是代理那部分,付费软件是什么?

30
90Snake 2016-03-07 23:02:31

真屌!!

30
班尼路 2016-03-07 22:33:05

谁来共享个没后门的菜刀

30
黑暗天空120 2016-03-07 22:19:40

NICE!要是我的话,先下载,在删除

30
ChaMd5_M 2016-03-07 22:17:36

表哥 我特意过来看你

30
Her0in 2016-03-07 22:10:26

@hicode passivetotal.org

30
hicode 2016-03-07 20:14:05

NICE!请问域名信息查询的这个网址是什么,方便透露一下吗?

30
仰望 2016-03-07 19:41:23

表哥666666,瞬间爆炸!

30
Code Life 2016-03-07 18:56:22

看完bug看drops

30
r3d0x8 2016-03-07 18:19:42

久闻宇哥大名,果然niubility!

30
Hex 2016-03-07 17:52:24

Exciting!

30
yibeizifd 2016-03-07 17:37:14

好精彩

30
健宇 2016-03-07 17:28:34

@abc 这后果确实可怕。。。一开始没想到,到你说才知道,唉~晚矣

30
酷派安全应急响应中心 2016-03-07 17:10:18

很多部分没看懂。。

30
Aug0st 2016-03-07 17:06:33

太赞

30
Sw0rd 2016-03-07 16:56:56

把我的shell还给我

30
Gump 2016-03-07 16:09:00

很黄很暴力

30
库日天 2016-03-07 16:04:07

实在是太牛逼了、

30
头像是个二货的mango 2016-03-07 15:19:07

保重,作者以后出门看着点,

30
hack2012 2016-03-07 14:58:32

师傅,你太强大了。支持。

30
苦咖啡 2016-03-07 14:27:15

太牛逼了 膜拜

30
xx 2016-03-07 13:37:40

由此可见好的裤子是多么的重要

30
abc 2016-03-07 13:34:37

作者文中的QQ是亮点啊,这是在等着一大波黑产或者WAF安全厂商的主动联系啊,广告植入的很精髓。另外,这些被“删除”的webshell根据提交上来的IP地址信息,在配合溯源的话,是不是意味着一大波所谓的“黑帽”,“白帽”都要被揪出来了,想想这后果都感觉后怕啊。

30
helen 2016-03-07 13:28:58

其实最大的箱子是某墙,一股无形的力量

30
Breaker 2016-03-07 13:27:02

真的删了啊

30
666 2016-03-07 13:07:28

晚上撸个5分钟,抵上十天功。

30
BeenQuiver 2016-03-07 13:06:00

多少白帽子都被利用了的

30
无敌情痴 2016-03-07 12:59:07

膜拜大神

30
komas 2016-03-07 12:57:56

好强大的技术气息

30
Msyb 2016-03-07 12:53:59

干得漂亮:-D

30
JoyChou 2016-03-07 12:50:00

mark

30
purpleroc 2016-03-07 12:29:33

十天撸了三百万的webshell,可怕

30
Soulmk 2016-03-07 12:27:47

仔细的看完大牛的整个渗透过程,受益匪浅 :)
为安全圈贡献一份力量!

30
PgHook 2016-03-07 12:24:30

牛逼啊

30
数据流 2016-03-07 12:22:03

简直是为民除害啊!

30
膜拜 2016-03-07 12:19:39

宇哥威武。爱你萌萌哒

30
泳少 2016-03-07 12:04:07

如何爆破gmail邮箱的。。

30
张不San 2016-03-07 11:51:04

nb

30
myh4ck1ife 2016-03-07 11:49:43

简直了

30
凌晨G度 2016-03-07 11:49:12

@livers Hello~

30
Sevck 2016-03-07 11:41:55

NB

30
AAASJAAA 2016-03-07 11:41:55

厉害啊

30
水系cmos 2016-03-07 11:39:57

简直了!

30
Wei0xe 2016-03-07 11:39:42

我的裤子还我

30
open 2016-03-07 11:36:46

域名历史DNS查询这个是http://research.domaintools.com/ 的收费服务吧? 50美金一个月。

30
cf_hb 2016-03-07 11:28:57

换我辛辛苦苦挖的webshell

30
XSSER 2016-03-07 11:28:30

箱子怎么卖????????????? 大神留下内裤

30
蝶离飞 2016-03-07 11:28:17

你应该本地有保存吧,我不信你真的删除了

30
Blood_Zero 2016-03-07 11:25:40

楼主保重啊!

30
livers 2016-03-07 11:20:32

300Wshell算是世界顶级啦

30
这只猪 2016-03-07 11:18:55

请问下,那个查源ip地址的网址是多少

30
Root 2016-03-07 11:17:08

健宇师父果然不同凡响,牛逼

30
无名 2016-03-07 11:11:30

牛逼。

30
干得漂亮 2016-03-07 11:07:56

这个箱子可以报警不。

30
PiaCa 2016-03-07 11:04:50

楼主保重

30
JiuShao 2016-03-07 11:03:16

十天撸了三百万的webshell,可怕

30
answer 2016-03-07 11:01:58

前排

30
Hckmaple 2016-03-07 10:59:42

前排围观 膜拜一下

30
_Thorns 2016-03-07 10:58:18

前排学习,

30
niubi 2016-03-07 10:57:59

牛逼....

30
Larry 2016-03-07 10:57:47

健宇师傅果然周一见了66666666666666666666666666666

30
秋名山车神 2016-03-07 10:54:49

健宇师傅66666666666666666666666666666666666666

感谢知乎授权页面模版