我是如何揭穿「娛樂圈」大佬
來自專欄網安實驗室6 人贊了文章
原創: MOZA 合天智匯
0*00前言
其實這一話題我很早就想寫了,國內安全圈太過於浮躁,娛樂圈遍地都是,小白入門太難(雖然我也是個小白),而且被坑得非常嚴重,qq群里隨隨便便就是各種安全組織,各種收徒,娛樂圈的「大佬」拿上幾個0day把無人問津的小站掛上黑頁,美名其曰:「安全檢測,路過什麼的」
像這樣子:
先不說能否挑戰大學工程師,掛上黑頁影響企業公司的正常運作,本身就已經違法。
小白剛入門,看到這些很容易被欺騙,然後交錢拜師,最後大都落得技術錢兩空的下場。
像這樣子:
Ps:學習還是要去正規的網站,如合天智匯,freebuf...等。
0*01目標信息收集
實話說,這個人大概是我剛入門的時候一兩年前我就盯上了,那時候覺得很六,簡直無敵,各種黑頁漫天飛舞,各種技術裝逼吊打全世界什麼的,然而才發現這一切都不過是圈小白錢的把戲,全都是盜用他人。
像這樣子:
接下來我們總結一下他的信息:
qq:xxxxxxx(已知)
個人博客:http://www.blxxx.com
個人論壇:http://www.ltxxx.com
個人秒贊網:http://www.mzxxx.com
經過探測這三個網站都掛上了cdn,所以接下來我們需要繞過cdn找真實的ip地址。
在這裡提一下找真實ip地址的方法:
1)首先多地ping檢測一下是否加上cdn
如果出現多個ip,則表明已經有了cdn。
2)通過查詢歷史dns記錄找真實ip
這裡我就是通過這個方法來找到他博客真實的ip地址。
3)通過查找子域名
有些cdn的服務實在是太昂貴,所以只加了主站,這時候我們就可以通過子域名來get到真實的ip地址。
4)讓伺服器主機連接我們
他的論壇存在註冊功能,會給我們的郵箱發送郵件,這時候我們只要查看郵箱的原文就可以了。
5)使用國外的主機來訪問。
至此,他站點的所有真實ip地址都已經得到。令人意外的是三個站點都在獨立的伺服器上,也就是說我們這次得滲透三個網站,不能通過旁站的方式使其全部掛掉。
首先我們來看一下他的博客。
0*02 wordpress over
目標:http://www.blxxxx.com
埠服務信息
網站頁面
CMS識別一下
Wp的站點,4.6的我記得似乎有漏洞,我們先打開默認後台。
這種驗證碼,py完全可以識別,所以我們可以用來爆破,但是有一個坑就是這種驗證方式是隨機出現的,所以有時候需要加上驗證碼,有時候則不需要,我這裡貼一下識別這種驗證碼的腳本。
一個簡單的正則就可以識別出來,然後加法得出結果,帶上post賬戶密碼就可以爆破了。
丟服務跑了半個多鍾,沒跑出結果。
Wp4.6存在一個遠程代碼執行漏洞的,直接拿exp打
漏洞具體詳情參考:
http://www.freebuf.com/vuls/133849.html
順便貼上另一個exp:
https://github.com/vulhub/vulhub/blob/master/wordpress/pwnscriptum/exploit.py
找到他資料庫連接文件
找到資料庫密碼
他開放了3306埠,但是這裡有個坑連不上去...
所以採取sqlyog的http管道連接
成功登上去,獲取博客後台的賬號密碼
懶得解密,把加密的密碼直接替換成admin的md5值
成功登陸後台。至此第一個站拿下。
0*02Discuz論壇
目標:http://www.ltxxx.com
開放埠
對方cms是Discuz,最新版本的x3.4測試了一系列0day,無果。
嘗試用在博客中獲取的mysql密碼結合他qq信息中的生日進行組合登陸無果。
SSH爆破無果,mysql爆破無果。
只能就此放下。後續將會嘗試一下c段。
0*03小黑秒贊網
目標:http://www.mzxxx.com
目標開放埠:
個人感覺2018埠是抓取肉雞的。
Cms識別:
結果是Discuz,實打實的誤報...
由於我對這些秒贊,代掛,代刷這類網站不熟悉,並且百度,谷歌也沒有相關的0day,漏洞,著實令人難受。
目錄掃描結果:
網站頁面,說實話前端還挺可愛hhhh
Readme.txt
機智如我,看到cms的名字,搜索不到0day那就下載對應版本來審計一下吧。
在百度上找了一個對應版本的,本地搭建環境,進行審計。
說實話雖然seay爆出了一大堆可疑的但是找了大半天都沒找到(我果然是太菜了)
在我快要快要放棄的時候,我注意到了系統的文件任務導入功能。
url={$val}中的$val並沒有經過過濾,直接傳了進去。
跟蹤$val參數
發現來自$match參數的遍歷。
跟蹤$match參數
來自以[br]標籤分割的$url。繼續跟蹤$url
可以看出,當我們執行文件導入任務的時候,他會直接讀取文本內容,並沒有過濾任何關鍵字,直接插入到sql語句中,所以這裡我們先下sql斷點測試一下。
這是經過構造的注入exp
從這裡我們的確可以看到exp已經被執行。
查看網站根目錄
可以看到資料庫目錄已經寫出來了,如果能知道目標網站的絕對路徑,那麼我們就可以寫shell了。
但是我找了許久,還是找不到目標的絕對路徑,然而我們可以通過另外一種方法,猜與爆破相結合。
由於目標開放了3389埠。並且對目錄文件不敏感,所以這是一個windows系統。
構造CD E F 盤下的phpstudy/www或者wamp/www或者xampp/htdocs/www等等常用路徑。
我們先通過寫@@datadir或者@@basedir來測試,這樣子會更方便我們推測,然後用py文件去訪問目標網址下的1.txt如果存在那就代表我們的路徑猜測成功。
大概跑了十幾分鐘,便返回了正確的結果。
這時候我們就可以寫shell上去了,讀取資料庫密碼。
密碼為lsh13xxxxxxxxx十一位的數字,大概是他的手機號。
把兩個網站的首頁掛上php定位源碼。
在qq中給他轉發他的網站被黑,促使他點擊網頁,得到位置
在我伺服器上的腳本得到經緯度,定位。
在支付寶中給這個手機轉賬,得到真實姓名:劉**,
用猜密碼結合他個人信息,得到他的個人字典。
用他的手機號到reg007去查他曾經註冊過的網址
用姓名首字母加手機號登陸成功,在個人信息中得到他的照片與及更多詳細信息。
0*04總結
最後我把他的網站首頁全掛上了他的個人信息,與及警告了他,若是再次坑蒙拐騙小白,紅領巾會再一次降臨。
總的來說這多次滲透測試不是完美的,DZ的論壇我沒有拿下,伺服器我也沒有嘗試去提權。
學習還是要腳踏實地,諸君共勉。
(註:本文屬於合天原創投稿獎勵,未經允許,禁止轉載!)
推薦閱讀:
※黑客如何用谷歌伺服器儲存惡意文件並上傳Web shell
※SQL簡單語義分析概述
※2018網路安全分析與情報大會召開,安全仍需智能
※RSAC 2018 深度解讀:重新認知網路犯罪 顛覆你心中的安全攻防
※網堤安全攜手守護者計劃2018抵制網路詐騙 共同守護親友幸福
TAG:網路安全 |