查看原文
其他

记一次“不讲武德”的短信验证码绕过

听风安全 2023-11-28

The following article is from 雁行安全团队 Author 圭臬

免责声明
由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号听风安全及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

公众号现在只对常读和星标的公众号才展示大图推送,

建议大家把听风安全设为星标,否则可能就看不到啦!

----------------------------------------------------------------------

1. 前调

风和日丽的下午开头,记录一次对某个金融行业的攻防,不限制手段。初步接触发现目标在互联网上的web系统较少,大部分存在WAF。在官网找到了一处app介绍界面,对目标的app分析一波,也没有搞到有用的东西。

通过证书cert搜集到了一个aspx写的考试系统,aspx  永远的神。康康有没有搞头

通过top500用户爆破,看到BURP上不同大小的数据包出现了,下班,下班!,结果这个系统还要短信验证码。

可能管理员觉得有2FA了,弱口令也无所谓了。因为不想就这么放弃这个点,就想着通过一些接口、或者搞系统源码审计打。通过系统指纹找到了一个源码搭建的网站,发现一个没设2FA且存在弱口令的相似网站

上传、注入等测试完都不存在。感觉又僵住了,拿不到服务器权限,那就想法子搞数据吧。通过弱口令登入相似系统,然后找信息导出功能接口在一开始发现的系统上测试会不会有未授权,一发入魂

搞到了部分员工的个人信息

既然搞到了人员信息了,加上web不好打,那就冲冲钓鱼吧。



1.1  邮箱之旅

通过邮箱入手,只找到了一个邮箱域名,直接访问提示404

问题不大,那应该是通过客户端登入的。通过考试系统中获得的人员信息结合IMAP协议进行存在的用户探活

通过人名缩写组合常见的弱口令、键盘口令以及“企业名缩写@年份”这样的口令进行爆破。(这种用白鹿就能生成),运气不错,搞到一些邮箱权限。

在获得的邮箱权限中,有信息部门相关的人员邮箱,这就很香了。登入该员工的邮箱进行信息搜集

获得邮箱权限后可着重搜集以下信息:

1)通讯录信息和组织架构

2)内部邮件的书写规则

3)常见的密码、资产、拓扑、常用系统的使用手册等


导出组织通讯录后,通过之前的密码字典第二次爆破。进一步获得了多个邮箱权限,着重搜集信息部门员工邮箱中的信息


2. 中调

翻找邮箱中的信息后,获得互联网侧的信息较少。获得的重要信息如下:

1)员工通过申请获得VPN和堡垒机的使用权限

2VPN的初始密码规则


通过VPN初始密码登入VPN发现存在短信验证码,头皮发麻

综合手上的资源,准备进行钓鱼。准备从VPN入手,决定模仿VPN界面通过获得的信息部员工邮箱进行VPN账号密码钓鱼邮件的发放,通过交互的方式获得二次验证的短信验证码。

首先搞一个相似域名(eg:vpn.xxx.comvpn-xxx.com),制作好钓鱼界面并梳理接收账密和短信验证码的逻辑。因为时间原因,使用半自动交互的方式搞2FA,当鱼儿在钓鱼界面输入用户和密码后我们在真实的VPN系统手动输入让平台发送短信验证码给鱼儿,钓鱼界面再跳转到验证码输入界面诱导鱼儿输入短信验证码,文案就是常见的系统升级。

发车!发车!发车,第一波发出去后很快有一个小可爱交互了,但是用户名输的是工号,密码输入的手机号,emmmmmmmm,这是被识破了吗还是来捣乱的。当时的表情如下图

这里猜测鱼儿发现了异常。所以先暂时停止钓鱼行动,等待安全部门有无相关防范钓鱼邮件的说明。等到第二天一直没看到安全部门的邮件通知,于是开始第二波钓鱼。等待了一下午后,一直没有鱼咬钩。

准备从这个“调皮”的鱼儿入手,因为交互时没有输入正确的账号密码,而是工号。猜测使用VPN的频率不高,不会快速感到钓鱼界面的异常。通过获得的工号在邮箱中寻找员工信息,找到后测试发现该账户的VPN口令为默认口令。


综合考虑后决定通过钓鱼获得的手机号结合微信社工,伪装为公司信息部门相关员工以“VPN系统上需验证手机号”为由获得VPN二次验证的手机验证码

很快啊

3. 后调

访问到堡垒机

通过获得的信息部门员工邮箱口令撞库,登入运维人员的堡垒机,寻找可免密登入的资产。

获得服务器权限

制作代理,进入内网,开始内网渗透……,“不讲武德”的绕过了短信验证码


不可错过的往期推荐哦


SRC挖掘葵花宝典

SRC漏洞挖掘之看不见的羊毛

供应链投毒事件调查:一个免杀爱好者沦为“肉鸡”的全过程!

【蓝队篇】Weblogic反序列化攻击不依赖日志溯源攻击时间

从钓鱼邮件溯源到反制上线

记一次渗透中的Password加密爆破过程

【蓝队篇】jsp型webshell被删情况下如何溯源攻击时间

达梦数据库手工注入笔记

点击下方名片,关注我们

觉得内容不错,就点下“”和“在看

如果不想错过新的内容推送可以设为星标
继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存