我是如何揭穿“娱乐圈”大佬

0*00前言

其实这一话题我很早就想写了，国内安全圈太过于浮躁，娱乐圈遍地都是，小白入门太难（虽然我也是个小白），而且被坑得非常严重，qq群里随随便便就是各种安全组织，各种收徒，娱乐圈的“大佬”拿上几个0day把无人问津的小站挂上黑页，美名其曰：“安全检测，路过什么的”

像这样子:

先不说能否挑战大学工程师，挂上黑页影响企业公司的正常运作，本身就已经违法。

小白刚入门，看到这些很容易被欺骗，然后交钱拜师，最后大都落得技术钱两空的下场。

像这样子:

Ps：学习还是要去正规的网站，如合天智汇，freebuf…等。

0*01目标信息收集

实话说，这个人大概是我刚入门的时候一两年前我就盯上了，那时候觉得很六，简直无敌，各种黑页漫天飞舞，各种技术装逼吊打全世界什么的，然而才发现这一切都不过是圈小白钱的把戏，全都是盗用他人。

像这样子:

接下来我们总结一下他的信息：

qq:xxxxxxx（已知）

个人博客：www.blxxx.com

个人论坛:www.ltxxx.com

个人秒赞网:www.mzxxx.com

经过探测这三个网站都挂上了cdn，所以接下来我们需要绕过cdn找真实的ip地址。

在这里提一下找真实ip地址的方法:

1）首先多地ping检测一下是否加上cdn

如果出现多个ip，则表明已经有了cdn。

2)通过查询历史dns记录找真实ip

这里我就是通过这个方法来找到他博客真实的ip地址。

3)通过查找子域名

有些cdn的服务实在是太昂贵，所以只加了主站，这时候我们就可以通过子域名来get到真实的ip地址。

4）让服务器主机连接我们

他的论坛存在注册功能，会给我们的邮箱发送邮件，这时候我们只要查看邮箱的原文就可以了。

5)使用国外的主机来访问。

至此，他站点的所有真实ip地址都已经得到。令人意外的是三个站点都在独立的服务器上，也就是说我们这次得渗透三个网站，不能通过旁站的方式使其全部挂掉。

首先我们来看一下他的博客。

0*02 wordpress over

目标：www.blxxxx.com

端口服务信息

网站页面

CMS识别一下

Wp的站点，4.6的我记得似乎有漏洞，我们先打开默认后台。

这种验证码，py完全可以识别，所以我们可以用来爆破，但是有一个坑就是这种验证方式是随机出现的，所以有时候需要加上验证码，有时候则不需要，我这里贴一下识别这种验证码的脚本。

一个简单的正则就可以识别出来，然后加法得出结果，带上post账户密码就可以爆破了。

丢服务跑了半个多钟，没跑出结果。

Wp4.6存在一个远程代码执行漏洞的，直接拿exp打

漏洞具体详情参考：

http://www.freebuf.com/vuls/133849.html

顺便贴上另一个exp：

https://github.com/vulhub/vulhub/blob/master/wordpress/pwnscriptum/exploit.py

找到他数据库连接文件

找到数据库密码

他开放了3306端口，但是这里有个坑连不上去…

所以采取sqlyog的http管道连接

成功登上去，获取博客后台的账号密码

懒得解密，把加密的密码直接替换成admin的md5值

成功登陆后台。至此第一个站拿下。

0*02Discuz论坛

目标:www.ltxxx.com

开放端口

对方cms是Discuz，最新版本的x3.4测试了一系列0day，无果。

尝试用在博客中获取的mysql密码结合他qq信息中的生日进行组合登陆无果。

SSH爆破无果，mysql爆破无果。

只能就此放下。后续将会尝试一下c段。

0*03小黑秒赞网

目标:www.mzxxx.com

目标开放端口：

个人感觉2018端口是抓取肉鸡的。

Cms识别：

结果是Discuz，实打实的误报…

由于我对这些秒赞，代挂，代刷这类网站不熟悉，并且百度，谷歌也没有相关的0day，漏洞，着实令人难受。

目录扫描结果：

网站页面,说实话前端还挺可爱hhhh

Readme.txt

机智如我，看到cms的名字，搜索不到0day那就下载对应版本来审计一下吧。

在百度上找了一个对应版本的，本地搭建环境，进行审计。

说实话虽然seay爆出了一大堆可疑的但是找了大半天都没找到（我果然是太菜了）

在我快要快要放弃的时候，我注意到了系统的文件任务导入功能。

url='{$val}’中的$val并没有经过过滤，直接传了进去。

跟踪$val参数

发现来自$match参数的遍历。

跟踪$match参数

来自以[br]标签分割的$url。继续跟踪$url

可以看出，当我们执行文件导入任务的时候，他会直接读取文本内容，并没有过滤任何关键字，直接插入到sql语句中，所以这里我们先下sql断点测试一下。

这是经过构造的注入exp

从这里我们的确可以看到exp已经被执行。

查看网站根目录

可以看到数据库目录已经写出来了，如果能知道目标网站的绝对路径，那么我们就可以写shell了。

但是我找了许久，还是找不到目标的绝对路径，然而我们可以通过另外一种方法，猜与爆破相结合。

由于目标开放了3389端口。并且对目录文件不敏感，所以这是一个windows系统。

构造CD E F 盘下的phpstudy/www或者wamp/www或者xampp/htdocs/www等等常用路径。

我们先通过写@@datadir或者@@basedir来测试，这样子会更方便我们推测，然后用py文件去访问目标网址下的1.txt如果存在那就代表我们的路径猜测成功。

大概跑了十几分钟，便返回了正确的结果。

这时候我们就可以写shell上去了，读取数据库密码。

密码为lsh13xxxxxxxxx十一位的数字，大概是他的手机号。

把两个网站的首页挂上php定位源码。

在qq中给他转发他的网站被黑，促使他点击网页，得到位置

在我服务器上的脚本得到经纬度，定位。

在支付宝中给这个手机转账，得到真实姓名:刘**，

用猜密码结合他个人信息，得到他的个人字典。

用他的手机号到reg007去查他曾经注册过的网址

用姓名首字母加手机号登陆成功，在个人信息中得到他的照片与及更多详细信息。

0*04总结

最后我把他的网站首页全挂上了他的个人信息，与及警告了他，若是再次坑蒙拐骗小白，红领巾会再一次降临。

总的来说这多次渗透测试不是完美的，DZ的论坛我没有拿下，服务器我也没有尝试去提权。

学习还是要脚踏实地，诸君共勉。

看不过瘾？合天2017年度干货精华请点击《【精华】2017年度合天网安干货集锦》

别忘了投稿哦！

合天公众号开启原创投稿啦！！！

大家有好的技术原创文章。

欢迎投稿至邮箱：edu@heetian.com

合天会根据文章的时效、新颖、文笔、实用等多方面评判给予100元-500元不等的稿费哟。

有才能的你快来投稿吧！

点击了解投稿详情 重金悬赏 | 合天原创投稿等你来！