本文为原创文章,转载请注明出处
0*00前言
其实这一话题我很早就想写了,国内安全圈太过于浮躁,娱乐圈遍地都是,小白入门太难(虽然我也是个小白),而且被坑得非常严重,qq群里随随便便就是各种安全组织,各种收徒,娱乐圈的“大佬”拿上几个0day把无人问津的小站挂上黑页,美名其曰:“安全检测,路过什么的”像这样子:
先不说能否挑战大学工程师,挂上黑页影响企业公司的正常运作,本身就已经违法。小白刚入门,看到这些很容易被欺骗,然后交钱拜师,最后大都落得技术钱两空的下场。像这样子:
Ps:学习还是要去正规的网站,如合天智汇,freebuf...等。
0*01目标信息收集
实话说,这个人大概是我刚入门的时候一两年前我就盯上了,那时候觉得很六,简直无敌,各种黑页漫天飞舞,各种技术装逼吊打全世界什么的,然而才发现这一切都不过是圈小白钱的把戏,全都是盗用他人。像这样子:
接下来我们总结一下他的信息:
qq:xxxxxxx(已知)
个人博客:www.blxxx.com
个人论坛:www.ltxxx.com
个人秒赞网:www.mzxxx.com
经过探测这三个网站都挂上了cdn,所以接下来我们需要绕过cdn找真实的ip地址。
在这里提一下找真实ip地址的方法:
1)首先多地ping检测一下是否加上cdn
如果出现多个ip,则表明已经有了cdn。
2)通过查询历史dns记录找真实ip
这里我就是通过这个方法来找到他博客真实的ip地址。
3)通过查找子域名
有些cdn的服务实在是太昂贵,所以只加了主站,这时候我们就可以通过子域名来get到真实的ip地址。
4)让服务器主机连接我们
他的论坛存在注册功能,会给我们的邮箱发送邮件,这时候我们只要查看邮箱的原文就可以了。
5)使用国外的主机来访问。
至此,他站点的所有真实ip地址都已经得到。令人意外的是三个站点都在独立的服务器上,也就是说我们这次得渗透三个网站,不能通过旁站的方式使其全部挂掉。首先我们来看一下他的博客。
0*02 wordpress over
目标:www.blxxxx.com
端口服务信息
网站页面
CMS识别一下
Wp的站点,4.6的我记得似乎有漏洞,我们先打开默认后台。
这种验证码,py完全可以识别,所以我们可以用来爆破,但是有一个坑就是这种验证方式是随机出现的,所以有时候需要加上验证码,有时候则不需要,我这里贴一下识别这种验证码的脚本。
一个简单的正则就可以识别出来,然后加法得出结果,带上post账户密码就可以爆破了。丢服务跑了半个多钟,没跑出结果。Wp4.6存在一个远程代码执行漏洞的,直接拿exp打漏洞具体详情参http://www.freebuf.com/vuls/133849.html顺便贴上另一个exp:https://github.com/vulhub/vulhub/blob/master/wordpress/pwnscriptum/exploit.py找到他数据库连接文件
找到数据库密码
他开放了3306端口,但是这里有个坑连不上去...所以采取sqlyog的http管道连接
成功登上去,获取博客后台的账号密码
懒得解密,把加密的密码直接替换成admin的md5值
成功登陆后台。至此第一个站拿下。
0*02Discuz论坛
目标:www.ltxxx.com
开放端口
对方cms是Discuz,最新版本的x3.4测试了一系列0day,无果。
尝试用在博客中获取的mysql密码结合他qq信息中的生日进行组合登陆无果。
SSH爆破无果,mysql爆破无果。
只能就此放下。后续将会尝试一下c段。
0*03小黑秒赞网
目标:www.mzxxx.com
目标开放端口:
个人感觉2018端口是抓取肉鸡的。Cms识别:
结果是Discuz,实打实的误报...由于我对这些秒赞,代挂,代刷这类网站不熟悉,并且百度,谷歌也没有相关的0day,漏洞,着实令人难受。目录扫描结果:
网站页面,说实话前端还挺可爱hhhh
Readme.txt
机智如我,看到cms的名字,搜索不到0day那就下载对应版本来审计一下吧。在百度上找了一个对应版本的,本地搭建环境,进行审计。说实话虽然seay爆出了一大堆可疑的但是找了大半天都没找到(我果然是太菜了)
在我快要快要放弃的时候,我注意到了系统的文件任务导入功能。
url='{$val}'中的$val并没有经过过滤,直接传了进去。
跟踪$val参数
发现来自$match参数的遍历。
跟踪$match参数
来自以[br]标签分割的$url。继续跟踪$url
可以看出,当我们执行文件导入任务的时候,他会直接读取文本内容,并没有过滤任何关键字,直接插入到sql语句中,所以这里我们先下sql断点测试一下。这是经过构造的注入exp
从这里我们的确可以看到exp已经被执行。
查看网站根目录
可以看到数据库目录已经写出来了,如果能知道目标网站的绝对路径,那么我们就可以写shell了。但是我找了许久,还是找不到目标的绝对路径,然而我们可以通过另外一种方法,猜与爆破相结合。由于目标开放了3389端口。并且对目录文件不敏感,所以这是一个windows系统。构造CD E F 盘下的phpstudy/www或者wamp/www或者xampp/htdocs/www等等常用路径。我们先通过写@@datadir或者@@basedir来测试,这样子会更方便我们推测,然后用py文件去访问目标网址下的1.txt如果存在那就代表我们的路径猜测成功。大概跑了十几分钟,便返回了正确的结果。
这时候我们就可以写shell上去了,读取数据库密码。
密码为lsh13xxxxxxxxx十一位的数字,大概是他的手机号。把两个网站的首页挂上php定位源码。在qq中给他转发他的网站被黑,促使他点击网页,得到位置
在我服务器上的脚本得到经纬度,定位。
在支付宝中给这个手机转账,得到真实姓名:刘**,用猜密码结合他个人信息,得到他的个人字典。
用他的手机号到reg007去查他曾经注册过的网址
用姓名首字母加手机号登陆成功,在个人信息中得到他的照片与及更多详细信息。
0*04总结
最后我把他的网站首页全挂上了他的个人信息,与及警告了他,若是再次坑蒙拐骗小白,红领巾会再一次降临。总的来说这多次渗透测试不是完美的,DZ的论坛我没有拿下,服务器我也没有尝试去提权。学习还是要脚踏实地,诸君共勉。
网友评论