白帽故事 · 2024年5月29日

空穴来’宝’:如何从一个空文件中找到登录凭据

前言

话说我们的白帽小哥某天正在通过谷歌黑客技巧 (Google Dorking) 在目标网站上寻找漏洞,无意中发现了一个包含大量目录的列表,直觉告诉他这里面必定藏有‘宝藏’!带着满腔的好奇心,白帽小哥开始逐个文件地进行手动排查。

经过一番探索,白帽小哥发现了一个可疑的端点,由于漏洞披露原因,暂且将其称为“[Redacted]”。进入之后,里面有一个名为“[Redacted].xls” 的 Excel 文件,白帽小哥立即下载并打开了该文件,然而,映入眼帘的却是一片空白!

但是,白帽小哥总觉得这个文件可能并非那么简单,于是,白帽小哥决定使用一些电子取证技术对该文件进行更深入的分析。

file

蛛丝马迹

通过查看文件的元数据,白帽小哥发现了一些有意思的细节:

  • 这个文件被标记为“密码保护”,但实际上无需输入密码就能打开它
  • 文件大小约为 16KB,可它看起来明明是空的!一般来说,元数据只占 1-2KB 左右,这说明文件里还有大约 15KB 的隐藏数据!
  • 尝试使用 OLE 工具和其他取证方法提取数据,但一无所获

可疑格式

在 Excel 中重新打开该文件后,发现数据居然从第 J 列才开始,前面 (A-I 列) 完全看不到内容,这让白帽小哥更加怀疑这个文件有问题。

file

尝试突破

白帽小哥改用 LibreOffice 再次打开该文件,数据居然从第 L 列开始!前后两个软件显示的差异让白帽小哥更加确信该文件中肯定藏了什么东西。

也许是软件兼容性问题,又或是这个老旧文件格式存在着某种早已被人遗忘的弱加密方式。

于是白帽小哥抱着试一试的心态,把文件上传到了 Google Sheets,没想到,居然跳出了一个让人欣喜若狂的选项:展开隐藏的 A 列和 J 列。

file

白帽小哥怀着忐忑的心情点击了“展开”,下一秒,隐藏的重要信息终于浮出水面!

file

信息包含了大量的“企业详细信息”、“用户ID和密码”、“登录页面地址”等。

总结

细节决定成败!在处理可疑文件时,细致的检查和使用多种工具的重要性。

文件中隐藏的数据非常关键,如果被恶意分子利用,后果不堪设想。时刻确保敏感信息得到妥善保护,避免对外泄露,才是网络安全至关重要的一环。

通过本次案例,“有时候看似不起眼的东西,说不定就藏着巨大的秘密”。切记保持耐心与细心,说不定你也能有所收获!

以上内容由骨哥翻译并再创作。

原文:https://medium.com/@gurudattchoudhary/how-i-was-able-to-find-credentials-from-an-empty-looking-file-and-hack-a-well-known-organization-1f384dd62878

白帽小哥推特:@gurudattch