我是如何揭穿「娛樂圈」大佬

來自專欄網安實驗室6 人贊了文章

原創： MOZA 合天智匯

0*00前言

其實這一話題我很早就想寫了，國內安全圈太過於浮躁，娛樂圈遍地都是，小白入門太難（雖然我也是個小白），而且被坑得非常嚴重，qq群里隨隨便便就是各種安全組織，各種收徒，娛樂圈的「大佬」拿上幾個0day把無人問津的小站掛上黑頁，美名其曰：「安全檢測，路過什麼的」

像這樣子:

先不說能否挑戰大學工程師，掛上黑頁影響企業公司的正常運作，本身就已經違法。

小白剛入門，看到這些很容易被欺騙，然後交錢拜師，最後大都落得技術錢兩空的下場。

像這樣子:

Ps：學習還是要去正規的網站，如合天智匯，freebuf...等。

0*01目標信息收集

實話說，這個人大概是我剛入門的時候一兩年前我就盯上了，那時候覺得很六，簡直無敵，各種黑頁漫天飛舞，各種技術裝逼吊打全世界什麼的，然而才發現這一切都不過是圈小白錢的把戲，全都是盜用他人。

像這樣子:

接下來我們總結一下他的信息：

qq:xxxxxxx（已知）

個人博客：http://www.blxxx.com

個人論壇:http://www.ltxxx.com

個人秒贊網:http://www.mzxxx.com

經過探測這三個網站都掛上了cdn，所以接下來我們需要繞過cdn找真實的ip地址。

在這裡提一下找真實ip地址的方法:

1）首先多地ping檢測一下是否加上cdn

如果出現多個ip，則表明已經有了cdn。

2)通過查詢歷史dns記錄找真實ip

這裡我就是通過這個方法來找到他博客真實的ip地址。

3)通過查找子域名

有些cdn的服務實在是太昂貴，所以只加了主站，這時候我們就可以通過子域名來get到真實的ip地址。

4）讓伺服器主機連接我們

他的論壇存在註冊功能，會給我們的郵箱發送郵件，這時候我們只要查看郵箱的原文就可以了。

5)使用國外的主機來訪問。

至此，他站點的所有真實ip地址都已經得到。令人意外的是三個站點都在獨立的伺服器上，也就是說我們這次得滲透三個網站，不能通過旁站的方式使其全部掛掉。

首先我們來看一下他的博客。

0*02 wordpress over

目標：http://www.blxxxx.com

埠服務信息

網站頁面

CMS識別一下

Wp的站點，4.6的我記得似乎有漏洞，我們先打開默認後台。

這種驗證碼，py完全可以識別，所以我們可以用來爆破，但是有一個坑就是這種驗證方式是隨機出現的，所以有時候需要加上驗證碼，有時候則不需要，我這裡貼一下識別這種驗證碼的腳本。

一個簡單的正則就可以識別出來，然後加法得出結果，帶上post賬戶密碼就可以爆破了。

丟服務跑了半個多鍾，沒跑出結果。

Wp4.6存在一個遠程代碼執行漏洞的，直接拿exp打

漏洞具體詳情參考：

http://www.freebuf.com/vuls/133849.html

順便貼上另一個exp：

https://github.com/vulhub/vulhub/blob/master/wordpress/pwnscriptum/exploit.py

找到他資料庫連接文件

找到資料庫密碼

他開放了3306埠，但是這裡有個坑連不上去...

所以採取sqlyog的http管道連接

成功登上去，獲取博客後台的賬號密碼

懶得解密，把加密的密碼直接替換成admin的md5值

成功登陸後台。至此第一個站拿下。

0*02Discuz論壇

目標:http://www.ltxxx.com

開放埠

對方cms是Discuz，最新版本的x3.4測試了一系列0day，無果。

嘗試用在博客中獲取的mysql密碼結合他qq信息中的生日進行組合登陸無果。

SSH爆破無果，mysql爆破無果。

只能就此放下。後續將會嘗試一下c段。

0*03小黑秒贊網

目標:http://www.mzxxx.com

目標開放埠：

個人感覺2018埠是抓取肉雞的。

Cms識別：

結果是Discuz，實打實的誤報...

由於我對這些秒贊，代掛，代刷這類網站不熟悉，並且百度，谷歌也沒有相關的0day，漏洞，著實令人難受。

目錄掃描結果：

網站頁面,說實話前端還挺可愛hhhh

Readme.txt

機智如我，看到cms的名字，搜索不到0day那就下載對應版本來審計一下吧。

在百度上找了一個對應版本的，本地搭建環境，進行審計。

說實話雖然seay爆出了一大堆可疑的但是找了大半天都沒找到（我果然是太菜了）

在我快要快要放棄的時候，我注意到了系統的文件任務導入功能。

url={$val}中的$val並沒有經過過濾，直接傳了進去。

跟蹤$val參數

發現來自$match參數的遍歷。

跟蹤$match參數

來自以[br]標籤分割的$url。繼續跟蹤$url

可以看出，當我們執行文件導入任務的時候，他會直接讀取文本內容，並沒有過濾任何關鍵字，直接插入到sql語句中，所以這裡我們先下sql斷點測試一下。

這是經過構造的注入exp

從這裡我們的確可以看到exp已經被執行。

查看網站根目錄

可以看到資料庫目錄已經寫出來了，如果能知道目標網站的絕對路徑，那麼我們就可以寫shell了。

但是我找了許久，還是找不到目標的絕對路徑，然而我們可以通過另外一種方法，猜與爆破相結合。

由於目標開放了3389埠。並且對目錄文件不敏感，所以這是一個windows系統。

構造CD E F 盤下的phpstudy/www或者wamp/www或者xampp/htdocs/www等等常用路徑。

我們先通過寫@@datadir或者@@basedir來測試，這樣子會更方便我們推測，然後用py文件去訪問目標網址下的1.txt如果存在那就代表我們的路徑猜測成功。

大概跑了十幾分鐘，便返回了正確的結果。

這時候我們就可以寫shell上去了，讀取資料庫密碼。

密碼為lsh13xxxxxxxxx十一位的數字，大概是他的手機號。

把兩個網站的首頁掛上php定位源碼。

在qq中給他轉發他的網站被黑，促使他點擊網頁，得到位置

在我伺服器上的腳本得到經緯度，定位。

在支付寶中給這個手機轉賬，得到真實姓名:劉**，

用猜密碼結合他個人信息，得到他的個人字典。

用他的手機號到reg007去查他曾經註冊過的網址

用姓名首字母加手機號登陸成功，在個人信息中得到他的照片與及更多詳細信息。

0*04總結

最後我把他的網站首頁全掛上了他的個人信息，與及警告了他，若是再次坑蒙拐騙小白，紅領巾會再一次降臨。

總的來說這多次滲透測試不是完美的，DZ的論壇我沒有拿下，伺服器我也沒有嘗試去提權。

學習還是要腳踏實地，諸君共勉。

（註：本文屬於合天原創投稿獎勵，未經允許，禁止轉載！）