標籤:

我是如何揭穿「娛樂圈」大佬

我是如何揭穿「娛樂圈」大佬

來自專欄網安實驗室6 人贊了文章

原創: MOZA 合天智匯

0*00前言

其實這一話題我很早就想寫了,國內安全圈太過於浮躁,娛樂圈遍地都是,小白入門太難(雖然我也是個小白),而且被坑得非常嚴重,qq群里隨隨便便就是各種安全組織,各種收徒,娛樂圈的「大佬」拿上幾個0day把無人問津的小站掛上黑頁,美名其曰:「安全檢測,路過什麼的」

像這樣子:

先不說能否挑戰大學工程師,掛上黑頁影響企業公司的正常運作,本身就已經違法。

小白剛入門,看到這些很容易被欺騙,然後交錢拜師,最後大都落得技術錢兩空的下場。

像這樣子:

Ps:學習還是要去正規的網站,如合天智匯,freebuf...等。

0*01目標信息收集

實話說,這個人大概是我剛入門的時候一兩年前我就盯上了,那時候覺得很六,簡直無敵,各種黑頁漫天飛舞,各種技術裝逼吊打全世界什麼的,然而才發現這一切都不過是圈小白錢的把戲,全都是盜用他人。

像這樣子:

接下來我們總結一下他的信息:

qq:xxxxxxx(已知)

個人博客:blxxx.com

個人論壇:ltxxx.com

個人秒贊網:mzxxx.com

經過探測這三個網站都掛上了cdn,所以接下來我們需要繞過cdn找真實的ip地址。

在這裡提一下找真實ip地址的方法:

1)首先多地ping檢測一下是否加上cdn

如果出現多個ip,則表明已經有了cdn。

2)通過查詢歷史dns記錄找真實ip

這裡我就是通過這個方法來找到他博客真實的ip地址。

3)通過查找子域名

有些cdn的服務實在是太昂貴,所以只加了主站,這時候我們就可以通過子域名來get到真實的ip地址。

4)讓伺服器主機連接我們

他的論壇存在註冊功能,會給我們的郵箱發送郵件,這時候我們只要查看郵箱的原文就可以了。

5)使用國外的主機來訪問。

至此,他站點的所有真實ip地址都已經得到。令人意外的是三個站點都在獨立的伺服器上,也就是說我們這次得滲透三個網站,不能通過旁站的方式使其全部掛掉。

首先我們來看一下他的博客。

0*02 wordpress over

目標:blxxxx.com

埠服務信息

網站頁面

CMS識別一下

Wp的站點,4.6的我記得似乎有漏洞,我們先打開默認後台。

這種驗證碼,py完全可以識別,所以我們可以用來爆破,但是有一個坑就是這種驗證方式是隨機出現的,所以有時候需要加上驗證碼,有時候則不需要,我這裡貼一下識別這種驗證碼的腳本。

一個簡單的正則就可以識別出來,然後加法得出結果,帶上post賬戶密碼就可以爆破了。

丟服務跑了半個多鍾,沒跑出結果。

Wp4.6存在一個遠程代碼執行漏洞的,直接拿exp打

漏洞具體詳情參考:

freebuf.com/vuls/133849

順便貼上另一個exp:

github.com/vulhub/vulhu

找到他資料庫連接文件

找到資料庫密碼

他開放了3306埠,但是這裡有個坑連不上去...

所以採取sqlyog的http管道連接

成功登上去,獲取博客後台的賬號密碼

懶得解密,把加密的密碼直接替換成admin的md5值

成功登陸後台。至此第一個站拿下。

0*02Discuz論壇

目標:ltxxx.com

開放埠

對方cms是Discuz,最新版本的x3.4測試了一系列0day,無果。

嘗試用在博客中獲取的mysql密碼結合他qq信息中的生日進行組合登陸無果。

SSH爆破無果,mysql爆破無果。

只能就此放下。後續將會嘗試一下c段。

0*03小黑秒贊網

目標:mzxxx.com

目標開放埠:

個人感覺2018埠是抓取肉雞的。

Cms識別:

結果是Discuz,實打實的誤報...

由於我對這些秒贊,代掛,代刷這類網站不熟悉,並且百度,谷歌也沒有相關的0day,漏洞,著實令人難受。

目錄掃描結果:

網站頁面,說實話前端還挺可愛hhhh

Readme.txt

機智如我,看到cms的名字,搜索不到0day那就下載對應版本來審計一下吧。

在百度上找了一個對應版本的,本地搭建環境,進行審計。

說實話雖然seay爆出了一大堆可疑的但是找了大半天都沒找到(我果然是太菜了)

在我快要快要放棄的時候,我注意到了系統的文件任務導入功能。

url={$val}中的$val並沒有經過過濾,直接傳了進去。

跟蹤$val參數

發現來自$match參數的遍歷。

跟蹤$match參數

來自以[br]標籤分割的$url。繼續跟蹤$url

可以看出,當我們執行文件導入任務的時候,他會直接讀取文本內容,並沒有過濾任何關鍵字,直接插入到sql語句中,所以這裡我們先下sql斷點測試一下。

這是經過構造的注入exp

從這裡我們的確可以看到exp已經被執行。

查看網站根目錄

可以看到資料庫目錄已經寫出來了,如果能知道目標網站的絕對路徑,那麼我們就可以寫shell了。

但是我找了許久,還是找不到目標的絕對路徑,然而我們可以通過另外一種方法,猜與爆破相結合。

由於目標開放了3389埠。並且對目錄文件不敏感,所以這是一個windows系統。

構造CD E F 盤下的phpstudy/www或者wamp/www或者xampp/htdocs/www等等常用路徑。

我們先通過寫@@datadir或者@@basedir來測試,這樣子會更方便我們推測,然後用py文件去訪問目標網址下的1.txt如果存在那就代表我們的路徑猜測成功。

大概跑了十幾分鐘,便返回了正確的結果。

這時候我們就可以寫shell上去了,讀取資料庫密碼。

密碼為lsh13xxxxxxxxx十一位的數字,大概是他的手機號。

把兩個網站的首頁掛上php定位源碼。

在qq中給他轉發他的網站被黑,促使他點擊網頁,得到位置

在我伺服器上的腳本得到經緯度,定位。

在支付寶中給這個手機轉賬,得到真實姓名:劉**,

用猜密碼結合他個人信息,得到他的個人字典。

用他的手機號到reg007去查他曾經註冊過的網址

用姓名首字母加手機號登陸成功,在個人信息中得到他的照片與及更多詳細信息。

0*04總結

最後我把他的網站首頁全掛上了他的個人信息,與及警告了他,若是再次坑蒙拐騙小白,紅領巾會再一次降臨。

總的來說這多次滲透測試不是完美的,DZ的論壇我沒有拿下,伺服器我也沒有嘗試去提權。

學習還是要腳踏實地,諸君共勉。

(註:本文屬於合天原創投稿獎勵,未經允許,禁止轉載!)


推薦閱讀:

黑客如何用谷歌伺服器儲存惡意文件並上傳Web shell
SQL簡單語義分析概述
2018網路安全分析與情報大會召開,安全仍需智能
RSAC 2018 深度解讀:重新認知網路犯罪 顛覆你心中的安全攻防
網堤安全攜手守護者計劃2018抵制網路詐騙 共同守護親友幸福

TAG:網路安全 |