由xml加密文件引起的滲透
在漏洞挖掘過程中,通過目錄泄漏漏洞發現某網站存在公民個人隱私泄露,后續發現該網站提供了客戶端和服務器端程序,將其下載到本地并進行安裝,通過研究發現其客戶端和服務器端都有一個加密的config.xml文件,該xml文件包含了FTPIP、USERNAME、PWD等信息,這意味著客戶端或者服務器端必然會跟外界發生聯系,進行更新或者讀取數據庫等操作,于是便有了本次的滲透。
1.1發現加密config.xml
安裝XXX客戶端和服務器端程序,在其程序安裝目錄發現有加密的config.xml文件,如圖1所示,本人比較好奇,從來沒有見過這種加密方式,于是開始了解密之路。
圖1加密xml文件
其代碼如下:
<ROOT>
<FTPIP VALUE="oaIR9zhtlTqQ3UxD7MVe08l3/oFvDp1ulMwo2GSY44I="
/>
<USERNAME VALUE="WjtHFu7uCp12XLCGYRcBnw==" />
<PWD VALUE="KZ6N2RwmqU3kLlvkPWZZKA==" />
<IPAddRESS VALUE="NzUif+K/r+z/I2isT+cx4U17mjANwri2GEtZeVgc/I9N2vVoEwTR8cKL9h5DTdCiQSJ0RU/zy4WQqKb1QgVtuQ=="
/>
<LASTIPADDRESS VALUE="net.tcp://42.***.***.140:54321/WCFService"
/>
<GETIPADDRESS
VALUE="3ddmo1CJhGkfJ8fo1ljZPUcbNnD0W699Jm+1tbkyWyEXaVCTiyzQCA=="
/>
<SERVERLOCALADDRESS VALUE="" />
<UPDATESERVER
VALUE="iWUfW9BA9VTPSPOa+sWiHqt9yoI6bFLkm0vAOw50ybg=" />
<DATACOMPRESSION VALUE="0" />
<VER VALUE="32" />
<XMLTYPE VALUE="CLIENT" />
</ROOT>通過對代碼進行讀取,發現僅僅對xml中的值進行了加密,這種xml加密的文件,曾經在web.config中見過,僅僅對數據庫連接字符串進行加密。
1.2使用Hash-Algorithm-Identifier進行哈希識別
git獲取源代碼:
git clone https://github.com/AnimeshShaw/Hash-Algorithm-Identifier.git
cd /Hash-Algorithm-Identifier/hashidentifier
chmod +x
HashIdentifier.py
./HashIdentifier.py輸入值:
WjtHFu7uCp12XLCGYRcBnw==程序無法識別該算法,如圖2所示。
圖2不能識別算法
嘗試通過base64解密后顯示為亂碼,明顯該加密值不是base64加密,后續還找了一些加密的工具進行解密,但無法解開密碼。
1.3分析服務端程序
在服務端程序安裝目錄發現其運行有mysql數據庫,運行端口為3303,通過查看mysql下的user.MYD獲取其root賬號密碼為:3C71F7A211581537008603DBC9012B7991DD4830,解密后為ukicreator,通過sql front進行連接并查看數據庫,如圖3所示,查看了所有的表,未發現敏感配置信息。
圖3查看服務端數據庫
1.4在線尋找破解config.xml
通過查找資料獲取des等在線加解密站點http://tool.chacuo.net/cryptdes,但這些解密需要有一個key才行,無法通過在線網站直接解密,如圖4所示。
圖4在線des解密失敗
1.5使用cain嗅探獲取口令
(1)安裝并設置cain工具
安裝cain工具,最新版本為v4.9.56,下載地址http://www.oxid.it/downloads/ca_setup.exe,安裝完畢后,設置監聽地址,如圖5所示,單擊Configure,在其窗口中選擇IP地址進行監聽,然后再單擊“網卡”和“核彈”標志圖片開始嗅探。
圖5設置監聽
(2)運行客戶端程序和服務器程序
運行XXX客戶端和服務端程序,如圖所示,成功獲取其ftp密碼。
圖6獲取服務器口令
(3)登錄服務器
通過嗅探獲取的口令來看,感覺這個口令可能是遠程終端的口令,也即系統管理員口令。使用嗅探獲取的IP地址、賬號和口令進行登錄嘗試,如圖7所示,成功登錄服務器。
圖7成功登錄服務器
(4)獲取root口令和密碼
在服務器D盤下,成功獲取數據庫配置文件config.php,如圖8所示,獲取數據庫端口為3333,root用戶的密碼為“udpcreator@!UKI12”,口令很強悍!
圖8獲取數據庫賬號和口令
(5)獲取FlashFXP賬號和密碼
在系統中還發現安裝了FlashFXP程序,運行該程序后,通過“選項”-“參數選擇”-“選項”,在安全性中勾選“選擇密碼字段時顯示密碼”,如圖9所示,確認后配置生效。
圖9修改FlashFXP配置文件
打開站點管理器,在快速連接中可以發現存在一個Ftp地址,打開后,將鼠標移動到密碼處直接獲取其密碼“ukicreator86UKI”,如圖10所示,該密碼看起來像服務器管理密碼。
圖10獲取ftp密碼
(6)獲取ftp信息泄露
直接ftp連接,如圖11所示,可以直接查看其默認配置的文件,有些文件可以直接下載和查看,說明存在ftp信息泄露。
圖11ftp密碼信息泄露
1.6xml解密程序
后面朋友給了一段解密config.xml的程序代碼:
Imports
System.IO
Imports System.Xml.Serialization
Public
Class Form1
'加密存儲
Private Sub Button1_Click(ByVal sender As
System.Object, ByVal e As System.EventArgs) Handles Button1.Click
Dim sp As New SystemParemeters()
sp.UserName = "sa"
sp.Password = "abcd"
sp.ServerName = "."
sp.TimeOut = 50
Dim xmlSerializer As New
XmlSerializer(GetType(SystemParemeters))
Dim ms As New MemoryStream
Dim writer As TextWriter = New
StreamWriter(ms)
Try
xmlSerializer.Serialize(writer, sp)
Finally
writer.Close()
End Try
Dim code As Byte() = ms.ToArray()
For index = 0 To UBound(code)
code(index) = code(index) Xor 17
Next
File.WriteAllBytes("config.xml",
code)
End Sub
'解密讀取
Private Sub Button2_Click(ByVal sender As
System.Object, ByVal e As System.EventArgs) Handles Button2.Click
Dim xmlSerializer As New
XmlSerializer(GetType(SystemParemeters))
Dim code As Byte() =
File.ReadAllBytes("config.xml")
For index = 0 To UBound(code)
code(index) = code(index) Xor 17
Next
Dim ms As New MemoryStream(code)
Dim items As SystemParemeters
Try
items = DirectCast(xmlSerializer.Deserialize(ms),
SystemParemeters)
Finally
ms.Close()
End Try
End Sub
End
Class
Public
Structure SystemParemeters
Public ServerName As String
Public UserName As String
Public Password As String
Public TimeOut As Integer
End
Structure
