Loading...   今天发现微博上有人收听,微博昵称和描述比较怪异,有个IP,好奇心驱使下就访问了那个IP,然后就有了这个故事,后来发现是个阿里的招聘活动,问了菊花,发现是他们搞的。。。浪费时间浪费青春。。。不过还是有很多地方值得我们学习,比如里面的思路,比如一个技术团队该有的技术气息!所以就把这件事情简单的描述下来了,email给部门全体小伙伴,一起学习一起进步。 <!--more--> ## 0X01 邮件内容 <hr /> hello everyone:   分享给大家一个wargame,事情的起因是我今天发现微博上有个人收听了我,这个不是最重要的,重要的是他的名字和描述很奇怪。 ![1.png][1]   其中微博的简介看起来是个base64字符串,转换过来以后是:http://218.244.143.198/ ,开始以为只是个木马上线的地址,社交传播,后来右键源码发现并不是: ![2.png][2]   打开看是个jsfuck转码,找官网(http://www.jsfuck.com/)解密得到: ![3.png][3]   发现地址:218.244.143.198/.svn/,打开后发现403,根据svn文件结构,读取entries文件,发现提示: ![4.png][4]   wc.db也是svn文件结构里的的文件(百度了一下才知道。。。),下载回来发现是个sqlite数据库,随便找个sqlite数据库管理软件打开,并发现一个php文件: ![5.png][5]   在浏览器里打开: ![6.png][6]   这类的登录框一般问题就有几种:注入、cookie的问题、http header、http response等的问题。试了一下,此处是代码注入:admin' or '1'=1 ![7.png][7]   得到了一个新地址并打开:http://218.244.143.198/zootopia/ ![8.png][8]   发现是个文件查看器,右键源码发现,输入密码后面那个input框里面带了一个value,32位的,猜测是个md5,扔到cmd5解密一下: ![9.png][9] ![10.png][10]   果然是。。。解密出结果是:aliyun,填进文本框,之后下载了一个名为“c0ngrats.txt”的文本文件,打开: ![11.png][11]   才发现是个招聘。。。。。其实刚才文件查看解出来就应该有一些觉悟了。。。。既然给了下一关地址那么就继续。。。下载backdoor.zip,解压,发现是个pcap数据包: ![12.png][12]   使用wireshark打开,查看http的包,发现有个baskdoor.php是个一句话木马,里面有z0、z1、z2三个参数,hello引用了z0,z0 base64decode后发现引用了z1, ![13.png][13] ![14.png][14] Form item: "z1" = "/var/www/html/dllm"   z2两次base64 decode后发现一个新的地址:http://218.244.143.198/static/crackme   crackme下载回来发现是个elf的linux可执行文件,ida打开,F5,找到逻辑伪代码: ![15.png][15] ![16.png][16] secret1 = [ 0x73, 0x64, 0x66, 0x23, 0x6B, 0x6C, 0x25, 0x72, 0x29, 0x6B, 0x73, 0x6B ]; secret = [ 0x08, 0x45, 0x0A, 0x42, 0x4B, 0x31, 0x6D, 0x2F, 0x52, 0x0B, 0x16, 0x23 ];   按照上面的逻辑,跟0xF异或之后,算出s[i]得到:t.cn/RGRtojG,看url是腾讯的short url,访问之后得到:http://112.124.106.246/7fbde8d70c816033/   访问上面得到的地址“http://112.124.106.246/7fbde8d70c816033/”发现是joomla,最近出现的joomla的漏洞就是ua处的反序列化了,之前在邮件列表里给大家分享过一个自己写的joomla反序列化插件: ![17.png][17]   使用这个插件即可: ![18.png][18]   发现虽然没有getshell,但是在response包里发现了一句话: ![19.png][19]   至此,结束。   后来发现出题人是一个认识的朋友。 ## 0X02 balabala <hr />   技术团队需要“活力”,需要保持这种“活力”,保持那种持续探索的想法,要是真的到连想法都没有的时候,“那跟咸鱼有什么区别!”。赞一下aliyun的这个团队。 *本文为`wooyaa`原创,转载请提及`wooyaa`以及原文链接,其他均参照[MIT][15]协议。 [1]: https://wooyaa.me/usr/uploads/2023/04/3838592757.jpg [2]: https://wooyaa.me/usr/uploads/2023/04/2678190112.jpg [3]: https://wooyaa.me/usr/uploads/2023/04/3400866891.jpg [4]: https://wooyaa.me/usr/uploads/2023/04/679452771.jpg [5]: https://wooyaa.me/usr/uploads/2023/04/1980403903.jpg [6]: https://wooyaa.me/usr/uploads/2023/04/1444119397.jpg [7]: https://wooyaa.me/usr/uploads/2023/04/2041963476.jpg [8]: https://wooyaa.me/usr/uploads/2023/04/1338385167.jpg [9]: https://wooyaa.me/usr/uploads/2023/04/2216051748.jpg [10]: https://wooyaa.me/usr/uploads/2023/04/1896055879.jpg [11]: https://wooyaa.me/usr/uploads/2023/04/4202895730.jpg [12]: https://wooyaa.me/usr/uploads/2023/04/1048535916.jpg [13]: https://wooyaa.me/usr/uploads/2023/04/1309165917.jpg [14]: https://wooyaa.me/usr/uploads/2023/04/935589801.jpg [15]: https://wooyaa.me/usr/uploads/2023/04/3526089985.jpg [16]: https://wooyaa.me/usr/uploads/2023/04/3889999678.jpg [17]: https://wooyaa.me/usr/uploads/2023/04/2036811059.jpg [18]: https://wooyaa.me/usr/uploads/2023/04/2533625178.jpg [19]: https://wooyaa.me/usr/uploads/2023/04/3282760120.jpg 最后修改:2023 年 04 月 28 日 © 允许规范转载 打赏 赞赏作者 支付宝微信 赞 1 如果觉得我的文章对你有用,请随意赞赏
11 条评论
想想你的文章写的特别好www.jiwenlaw.com
蛮不错的过程。。。。
不错啊。。。
thx~
博主,终于更新了
阿里云要是这么简单能进就好了
也是,你要是能用16年阿里招人的方法在19年进入阿里,那确实也很厉害。。
挺有趣的
你好 我这边是阿里云安全团队 看到你的博客感觉非常不错 请问你目前是 已经工作/上学中?,是否考虑实习/换工作/ 或者身边朋友有此想法; 如果是应届生的话, 目前团队招2021届毕业实习生/社招,团队主要内容为攻击检测/威胁检测(偏向黑客检测/APT检测),对web安全、网络漏洞、渗透测试、逆向、流量数据分析等有所经验的特别欢迎,如有意向可联系hector.hxk@alibaba-inc.com
另外这个博客有年头没更新过了,你确实够拼的。。这都能找到。。。
e……有点尴尬……这个文章是16年的,16年我刚好换了第二份工作,工作到现在7个年头多了,哈哈哈……