昔日

日一些中小型站的基本思路

Mxaol's Blog 关注互联网安全:

0x01
这次只是常规利用搜索引擎社工的思路,不涉及专业黑客所用的社工办法(email/与管理员交互,office系列/flash等一系列0day),因为我木有xss,木有免杀木马,木有高超的编程技术。照猫画虎而已,在实习那段时间跟x哥交流,从中体会后而学到的东西。
拿这种国内中小公司的站练手,按照我的常规思路是这样的:
1.        旁站找程序
2.        搜集管理员信息
3.        c段进行arp


0x02 实例
步骤
目标站为论坛,然后版本为DX2.0
1.旁站
域名反查
www.**y2.com
www.**j.com.cn
www.xia**ou.cn
www.s**o.cc
www.xi**o.cc
www.hn-**hy.net
bbs.**y2.com
blog.**y2.com
0000.blog.**y2.com
……旁站太多,此处略过部分站点
看来都是这家公司自己的服务器。
因为似乎这家公司做了很多的服务,有网站设计,有商城。等业务。。
逐一打开浏览一遍,发现所属它的商城程序刚好用的是shopex 版本为v4.8.5 ,测试t00ls里fjhgx的exp失效。估计是打了补丁。
而其他网站多为dx2.0.或者other程序,我没那挖洞的能力。百度google一遍后,未找到程序爆出来的漏洞,遂放弃。


2.社工
第一件事就是收集公司的管理员名称,到【论坛事务】等版块找出了管理员的id
总结到。
顺便whois出域名信息。
Xxx2@qq.com
xxxxhao2006@qq.com
xxxx565@qq.com
将邮箱也捎带记录了下来


带着这些信息,结合该公司的商城域名,用各个搜索引擎进行搜索。
domain:aimwebsite.Com
intext:aimwebsite.Com
(PS:因为商城赚钱最主要还是靠淘宝客之类的赚取差价,宣传自己网站就必须得发布外链。)
找到一枚php注入点,穿山甲跑出了用户表所有数据,where得到了目标站管理员的密码。。
突破点就在于这两个密码。其余的是123456等弱口令
找出管理员的密码组合规律
继续google,找到了腾讯企业邮箱,将收集到的用户名与以及密码组合尝试进行登录。
登录了管理员邮箱之后,开始搜索敏感信息。在一些网站中常常会将用户密码给反馈回来。
从管理员打开过的邮件逐一打开,黑体是他未查看过的邮件。所以不动它们。
这样收集到的密码和用户名又多了几枚。
在已发送中,找到了一份申请备案的xls文档


下载后,打开一看。原来是天朝的特色,实名备案制,里面包含了公司所有备案成功站点的域名信息,以及管理员的手机号码以及身份证中生日信息,QQ,就这样收集了很多的敏感信息。


虽然用这套敏感信息,admin 的密码杀入了论坛。但是dx2.0俺不会后台拿webshell哇。
继续批量ping得到的域名信息,发现了公司所拥有的并非一台服务器。以上站点,分别分署于三台不同的服务器,这里简称服务器A,服务器B。服务器C
继续猜解密码杀入了服务器B中的某站中,此次总结出了管理员常用密码的规律:Q+姓名缩写
网站域名。


猜解了B站的后台密码,进了一个UCHOME
赶紧翻t00ls里的陆羽的帖子,以及后来关于uchome的讨论帖,顺利的拿到了webshell


这里的提权不略过了,累死我拉!
WS组件被禁用啊,各种组件被禁用啊,组件执行命令无望,ftp用到的iis自带的Microsoft ftp。服务器上还装了瑞星。。。。
Php 找到了非root的mysql 用户,mysql链接了一下,发现该公司其他站点的数据。


看来目标网站曾经在服务器B中驻留过,翻着翻着,刚好发现了一个熟悉的表,这货不是先前尝试过的shopex吗?


找到管理表,拿到cmd5破之。拿到存在目标站的服务器a中商城站,果然可以射入。.
—_— 又百度了很久,shopex后台拿webshell的办法,终于顺利从模版处拿到了webshell。
服务器a 的目录权限配置可比服务器B的权限配置松散了一些,俺顺利的从D盘找到了mysql的目录,下载user.frm,user.MYD,user.MYI
拿到cmd5 破出hash,开始root提权。用了几个t00ls里的根据mysql.func的都木有办法,
俺用了http://www.4ngel.net/phpspy/plugin/Mysql_rok.txt
Lcx之前端口转发总是失败,原因很简单,可以根据已开启服务的而未被占用的端口,才能顺利转发,例如443端口。。。端口转发,这就是我从前纠结了很久的地方。
顺利的返回了shell。。。
抓了管理员hash。这里不截图了,都懂了。。。。
0xx03 总结
1.        小型程序Nday有时还是蛮靠谱的,类似DZ.PW等大型的,来得快去得也快。追最新的0day和新方法就像捉蝴蝶一样,捉不到的永远是最好的,掌握在手里的知识能用得上就ok。
2.        社工是强大的。一定要注意收集信息,尤其是了解这家公司的敏感信息
3.        c段arp是一项大工程,难免也会遇上防火墙,自己麻烦自己
所以本文略过了C段那段绕圈子的过程。
太困,思路全乱了,不知道怎么写好了,对于社工我一般想到哪儿社到哪儿。。


友情转载,作者有权关闭文章

评论

热度(4)

  1. 昔日慧升's Blog 关注互联网安全 转载了此文字