0*00前言
其实这一话题我很早就想写了,国内安全圈太过于浮躁,娱乐圈遍地都是,小白入门太难(虽然我也是个小白),而且被坑得非常严重,qq群里随随便便就是各种安全组织,各种收徒,娱乐圈的“大佬”拿上几个0day把无人问津的小站挂上黑页,美名其曰:“安全检测,路过什么的”
像这样子:
先不说能否挑战大学工程师,挂上黑页影响企业公司的正常运作,本身就已经违法。
小白刚入门,看到这些很容易被欺骗,然后交钱拜师,最后大都落得技术钱两空的下场。
像这样子:
Ps:学习还是要去正规的网站,如合天智汇,freebuf…等。
0*01目标信息收集
实话说,这个人大概是我刚入门的时候一两年前我就盯上了,那时候觉得很六,简直无敌,各种黑页漫天飞舞,各种技术装逼吊打全世界什么的,然而才发现这一切都不过是圈小白钱的把戏,全都是盗用他人。
像这样子:
接下来我们总结一下他的信息:
qq:xxxxxxx(已知)
个人博客:www.blxxx.com
个人论坛:www.ltxxx.com
个人秒赞网:www.mzxxx.com
经过探测这三个网站都挂上了cdn,所以接下来我们需要绕过cdn找真实的ip地址。
在这里提一下找真实ip地址的方法:
1)首先多地ping检测一下是否加上cdn
如果出现多个ip,则表明已经有了cdn。
2)通过查询历史dns记录找真实ip
这里我就是通过这个方法来找到他博客真实的ip地址。
3)通过查找子域名
有些cdn的服务实在是太昂贵,所以只加了主站,这时候我们就可以通过子域名来get到真实的ip地址。
4)让服务器主机连接我们
他的论坛存在注册功能,会给我们的邮箱发送邮件,这时候我们只要查看邮箱的原文就可以了。
5)使用国外的主机来访问。
至此,他站点的所有真实ip地址都已经得到。令人意外的是三个站点都在独立的服务器上,也就是说我们这次得渗透三个网站,不能通过旁站的方式使其全部挂掉。
首先我们来看一下他的博客。
0*02 wordpress over
目标:www.blxxxx.com
端口服务信息
网站页面
CMS识别一下
Wp的站点,4.6的我记得似乎有漏洞,我们先打开默认后台。
这种验证码,py完全可以识别,所以我们可以用来爆破,但是有一个坑就是这种验证方式是随机出现的,所以有时候需要加上验证码,有时候则不需要,我这里贴一下识别这种验证码的脚本。
一个简单的正则就可以识别出来,然后加法得出结果,带上post账户密码就可以爆破了。
丢服务跑了半个多钟,没跑出结果。
Wp4.6存在一个远程代码执行漏洞的,直接拿exp打
漏洞具体详情参考:
http://www.freebuf.com/vuls/133849.html
顺便贴上另一个exp:
https://github.com/vulhub/vulhub/blob/master/wordpress/pwnscriptum/exploit.py
找到他数据库连接文件
找到数据库密码
他开放了3306端口,但是这里有个坑连不上去…
所以采取sqlyog的http管道连接
成功登上去,获取博客后台的账号密码
懒得解密,把加密的密码直接替换成admin的md5值
成功登陆后台。至此第一个站拿下。
0*02Discuz论坛
目标:www.ltxxx.com
开放端口
对方cms是Discuz,最新版本的x3.4测试了一系列0day,无果。
尝试用在博客中获取的mysql密码结合他qq信息中的生日进行组合登陆无果。
SSH爆破无果,mysql爆破无果。
只能就此放下。后续将会尝试一下c段。
0*03小黑秒赞网
目标:www.mzxxx.com
目标开放端口:
个人感觉2018端口是抓取肉鸡的。
Cms识别:
结果是Discuz,实打实的误报…
由于我对这些秒赞,代挂,代刷这类网站不熟悉,并且百度,谷歌也没有相关的0day,漏洞,着实令人难受。
目录扫描结果:
网站页面,说实话前端还挺可爱hhhh
Readme.txt
机智如我,看到cms的名字,搜索不到0day那就下载对应版本来审计一下吧。
在百度上找了一个对应版本的,本地搭建环境,进行审计。
说实话虽然seay爆出了一大堆可疑的但是找了大半天都没找到(我果然是太菜了)
在我快要快要放弃的时候,我注意到了系统的文件任务导入功能。
url='{$val}’中的$val并没有经过过滤,直接传了进去。
跟踪$val参数
发现来自$match参数的遍历。
跟踪$match参数
来自以[br]标签分割的$url。继续跟踪$url
可以看出,当我们执行文件导入任务的时候,他会直接读取文本内容,并没有过滤任何关键字,直接插入到sql语句中,所以这里我们先下sql断点测试一下。
这是经过构造的注入exp
从这里我们的确可以看到exp已经被执行。
查看网站根目录
可以看到数据库目录已经写出来了,如果能知道目标网站的绝对路径,那么我们就可以写shell了。
但是我找了许久,还是找不到目标的绝对路径,然而我们可以通过另外一种方法,猜与爆破相结合。
由于目标开放了3389端口。并且对目录文件不敏感,所以这是一个windows系统。
构造CD E F 盘下的phpstudy/www或者wamp/www或者xampp/htdocs/www等等常用路径。
我们先通过写@@datadir或者@@basedir来测试,这样子会更方便我们推测,然后用py文件去访问目标网址下的1.txt如果存在那就代表我们的路径猜测成功。
大概跑了十几分钟,便返回了正确的结果。
这时候我们就可以写shell上去了,读取数据库密码。
密码为lsh13xxxxxxxxx十一位的数字,大概是他的手机号。
把两个网站的首页挂上php定位源码。
在qq中给他转发他的网站被黑,促使他点击网页,得到位置
在我服务器上的脚本得到经纬度,定位。
在支付宝中给这个手机转账,得到真实姓名:刘**,
用猜密码结合他个人信息,得到他的个人字典。
用他的手机号到reg007去查他曾经注册过的网址
用姓名首字母加手机号登陆成功,在个人信息中得到他的照片与及更多详细信息。
0*04总结
最后我把他的网站首页全挂上了他的个人信息,与及警告了他,若是再次坑蒙拐骗小白,红领巾会再一次降临。
总的来说这多次渗透测试不是完美的,DZ的论坛我没有拿下,服务器我也没有尝试去提权。
学习还是要脚踏实地,诸君共勉。
看不过瘾?合天2017年度干货精华请点击《【精华】2017年度合天网安干货集锦》
别忘了投稿哦!
合天公众号开启原创投稿啦!!!
大家有好的技术原创文章。
欢迎投稿至邮箱:edu@heetian.com
合天会根据文章的时效、新颖、文笔、实用等多方面评判给予100元-500元不等的稿费哟。
有才能的你快来投稿吧!
点击了解投稿详情 重金悬赏 | 合天原创投稿等你来!
今天的文章我是如何揭穿“娱乐圈”大佬分享到此就结束了,感谢您的阅读。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/9279.html