0*00 前言

发表于:2018-08-17 14:56:12 来源:  合天网安实验室 阅读数(0人)

前言


其实这一话题我很早就想写了,国内安全圈太过于浮躁,娱乐圈遍地都是,小白入门太难(虽然我也是个小白),而且被坑得非常严重,qq群里随随便便就是各种安全组织,各种收徒,娱乐圈的“大佬”拿上几个0day把无人问津的小站挂上黑页,美名其曰:“安全检测,路过什么的” 像这样子:




先不说能否挑战大学工程师,挂上黑页影响企业公司的正常运作,本身就已经违法。


小白刚入门,看到这些很容易被欺骗,然后交钱拜师,最后大都落得技术钱两空的下场。


像这样子:




Ps:学习还是要去正规的网站,如合天智汇,freebuf ...等。


0*01 目标信息收集


实话说,这个人大概是我刚入门的时候 一两年前我就盯上了,那时候觉得很六,简直无敌,各种黑页漫天飞舞,各种技术装逼吊打全世界什么的,然而才发现这一切都不过是圈小白钱的把戏,全都是盗用他人。


像这样子:






接下来我们总结一下他的信息:


qq: xxxxxxx(已知)


个人博客:www.blxxx.com


个人博客:www.blxxx.com


个人秒赞网: www.mzxxx.com


经过探测这三个网站都挂上了cdn,所以接下来我们需要绕过cdn找真实的ip地址。


在这里提一下找真实ip地址的方法:


1)首先多地ping检测一下是否加上cdn




如果出现多个ip,则表明已经有了cdn。


2)通过查询历史dns记录找真实ip




这里我就是通过这个方法来找到他博客真实的ip地址。


3)通过查找子域名


有些cdn的服务实在是太昂贵,所以只加了主站,这时候我们就可以通过子域名来get到真实的ip地址。


4)让服务器主机连接我们


他的论坛存在注册功能,会给我们的邮箱发送邮件,这时候我们只要查看邮箱的原文就可以了。






5)使用国外的主机来访问。


至此,他站点的所有真实ip地址都已经得到。令人意外的是三个站点都在独立的服务器上,也就是说我们这次得渗透三个网站,不能通过旁站的方式使其全部挂掉。


至此,他站点的所有真实ip地址都已经得到。令人意外的是三个站点都在独立的服务器上,也就是说我们这次得渗透三个网站,不能通过旁站的方式使其全部挂掉。


0*02 wordpress over


目标:www.blxxxx.com


端口服务信息




网站页面




CMS识别一下




Wp的站点,4.6的我记得似乎有漏洞,我们先打开默认后台。




这种验证码,py完全可以识别,所以我们可以用来爆破,但是有一个坑就是这种验证方式是随机出现的,所以有时候需要加上验证码,有时候则不需要,我这里贴一下识别这种验证码的脚本。




一个简单的正则就可以识别出来,然后加法得出结果,带上post账户密码就可以爆破了。


丢服务跑了半个多钟,没跑出结果。


Wp4.6存在一个远程代码执行漏洞的,直接拿exp打


漏洞具体详情参考:


http://www.freebuf.com/vuls/133849.html


顺便贴上另一个exp:


https://github.com/vulhub/vulhub/blob/master/wordpress/pwnscriptum/exploit.py


找到他数据库连接文件




找到数据库密码




他开放了3306端口,但是这里有个坑连不上去...


所以采取sqlyog的http管道连接




成功登上去,获取博客后台的账号密码




懒得解密,把加密的密码直接替换成admin的md5值




成功登陆后台。至此第一个站拿下。


0*02 Discuz论坛


目标:www.ltxxx.com


开放端口




对方cms是Discuz,最新版本的x3.4 测试了一系列0day,无果。


尝试用在博客中获取的mysql密码结合他qq信息中的生日进行组合登陆无果。


SSH爆破无果,mysql爆破无果。


只能就此放下。后续将会尝试一下c段


0*03 小黑秒赞网


目标:www.mzxxx.com


目标开放端口:




个人感觉2018端口是抓取肉鸡的。


Cms识别:




结果是Discuz,实打实的误报...


由于我对这些秒赞,代挂,代刷这类网站不熟悉,并且百度,谷歌也没有相关的0day,漏洞,着实令人难受。


目录扫描结果:




网站页面,说实话前端还挺可爱hhhh




Readme.txt




机智如我,看到cms的名字,搜索不到0day那就下载对应版本来审计一下吧。


在百度上找了一个对应版本的,本地搭建环境,进行审计。说实话虽然seay爆出了一大堆可疑的但是找了大半天都没找到(我果然是太菜了)




在我快要快要放弃的时候,我注意到了系统的文件任务导入功能。




url='{$val}'中的$val并没有经过过滤,直接传了进去。




跟踪$val参数




发现来自$match参数的遍历。




跟踪$match参数




来自以[br]标签分割的$url。继续跟踪$url




可以看出,当我们执行文件导入任务的时候,他会直接读取文本内容,并没有过滤任何关键字,直接插入到sql语句中,所以这里我们先下sql断点测试一下。


这是经过构造的注入exp




从这里我们的确可以看到exp已经被执行。




查看网站根目录




可以看到数据库目录已经写出来了,如果能知道目标网站的绝对路径,那么我们就可以写shell了。


但是我找了许久,还是找不到目标的绝对路径,然而我们可以通过另外一种方法,猜与爆破相结合。


由于目标开放了3389端口。并且对目录文件不敏感,所以这是一个windows系统。


构造C D E F 盘下的phpstudy/www 或者wamp/www或者xampp/htdocs/www等等常用路径。


我们先通过写@@datadir或者@@basedir来测试,这样子会更方便我们推测,然后用py文件去访问目标网址下的1.txt 如果存在那就代表我们的路径猜测成功。


大概跑了十几分钟,便返回了正确的结果。




这时候我们就可以写shell上去了,读取数据库密码




密码为lsh13xxxxxxxxx十一位的数字,大概是他的手机号。


把两个网站的首页挂上php定位源码。


在qq中给他转发他的网站被黑,促使他点击网页,得到位置




在我服务器上的脚本得到经纬度,定位。




在支付宝中给这个手机转账,得到真实姓名:刘圣辉,


用猜密码结合他个人信息,得到他的个人字典




用他的手机号到reg007去查他曾经注册过的网址




用姓名首字母加手机号登陆成功,在个人信息中得到他的照片与及更多详细信息。




0*04总结


最后我把他的网站首页全挂上了他的个人信息,与及警告了他,若是再次坑蒙拐骗小白,红领巾会再一次降临。


总的来说这多次渗透测试不是完美的,DZ的论坛我没有拿下,服务器我也没有尝试去提权。


学习还是要脚踏实地,诸君共勉。


相关新闻

大家都在学

课程详情

信息安全意识教育

课程详情

小白入门之旅

课程详情

信息安全基础