危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2307 浏览21469878

检测一地方门户

前几天拿的一个门户站,花了一天多的时间从分站成功渗透到主站,拿下2台服务器权限,拿下之后就马上抓图写过程了可以识别出文中网址的地方我都做了处理,文中将用A站代表此次的目标站。

下面正文开始

A站是一地方最大的门户站,用户量达70W,A站和其子站全是以自己公司设计制做的ASPX动态脚本为主体结构,以ASPX为整站结构的网站,我喜欢找编辑器目录开始下手。

A站Dz!netBBS结构,操起wwwscan开扫,看扫得到什么敏感目录,在扫目录同时开始查旁站,发现是独立服务器。回到A站上右键使用360浏览器下载全部连接。

A站图片文件存放在以admin开头的玉米目录下,看来是专门管理网站的地方,用旁注扫描器扫描了一下,发现和A站同一个服务器,访问之,跳转到了A站主页上了,加个admin看看。出现了登陆页面,开始使用各种弱口令万能密码猜解,无果。。看了下wwwscan的扫描结果,存在的目录和文件少的可怜,断定了主站的更新和用户管理是在这里完成,停掉了wwwscan,开始转向其他子站,经查询以下3个服务器存在他们的子站:

127.0.0.1子站,客户站

127.1.1.2主站BBS

127.2.2.3子站相薄游戏

发现127.0.0.1分站较多,决定从127.0.0.1这个lP下手,打开几个企业站,看了下结构发现是A站公司承包制做,连后台登陆页面也一模一样,还是弱口令万能密码猜解之,还是无果。

回到主页,照旧下载全部连接发现敏感目录eweb,在eweb目录后加个eWebEditor.htm看看。存在eWebEditor.htm文件,版本是4.4的。这个版本很少看见。不知道是asp版本还是net版本,访问asp目录看看,不存在asp目录,打开显示空白,存在该文件,证明是net版本。百度之,未找到该版本漏洞,下载了原码本地搭建,发现完整版本存在后台,后台目录为admin,可以添加样式等等,回到企业站上一试,不存在admin目录,猜测eweb后台被删除。eweb编辑器拿SHELL思路中断。。继续找其他同服站,来到A站的娱乐博彩子站发现图片存放目录和其他子站不同,由此猜测有其他编辑器存在,开起wwwscan就扫,夜也深了,明早再来看结果把,第2天,一大早就醒了,看下wwwscan扫出来的结果。

有点失望,几M的字典也没能扫到编辑器目录,开始访问扫出来的后台连接,访问时,竟然是后台菜单,后台验证不足可以直接访问。这下思路来了,马上点击管理员设置,找到添加管理员连接访问之,跳转到了后台登陆页,猜测是JS验证,换了个firefox浏览器,点击firefox上的选项,将启用的勾去掉。

访问添加管理员连接,出现了添加管理员页面:

立即添加用户名,密码为123的管理员进去,到后台成功登陆。看物理路径判断是星外主机,开始找编辑器,如果是FCKeditor就好办了,可还是失望了,后台用的还是ewebeditor编辑器4.4,无后台,另外一处上传用尽了能想到的办法还是没办法突破,放弃。。回到管理员管理处,看到存在其他7个管理员,密码还是明文显示,果断把用户密码copy下来。 

兴冲冲的跑到A站管理登陆页面尝试登陆,还是无果,看来这些用户只负责分站的管理更新,A站后台无权进入。接下来怎么办?还是老办法,A站后台进不了,尝试其他分站看看怎么样。。来到A站活动分站后台,用kim用户登陆后台成功。继续找上传点。    

在添加参赛者处直接成功上传aspx一句话菜刀连接,找到可写可执行目录执行cmd运行cscript.exe读VBS获取星外用户密码,成功得到服务器权限,和服务器所有站点的FTP用户密码。不想引起太大的动静,并没有登陆服务器。接下来打开站根目录下的Web.config文件,找到数据库配置信息,发现数据存放在内网服务器,用菜刀连接一个名为xxoobbs的数据库,发现其结构是DZ!net数据库结构。连接成功的同时也可以清楚的看到其他数据库名称。

其中xxooadmin数据库可能就是存放A站管理后台数据的数据库,在xxoobbs数据库中查询不到什么可疑表名后,转向VBS获取到的FTP信息,竟然找到A站的玉米,用FTP软件连接失败,猜测是N久以前A站曾放置在这个服务器上,搬走后又没删除IIS中A站使用的帐户,ASPX大马访问其目录,显示拒绝访问,证明该目录存在。接下来我用FOR命令for/re:\freehost\xxoo\web\%iin(* *)do @echo %i列出该目录下所有文件。竟然存在Web.config文件,TYPE命令读取之,发现xxooadmin数据库连接信息。

马上菜刀连接,竟然成功连接,查询其admin表名内容,发现6个管理用户,密码为32位MD5加密,叫朋友破了admin用户密码,来到A站管理后台,成功登陆。这下离成功不远了。在信息管理(添加)处找到ckfinder编辑器,这下拿SHELL就简单多了。点击浏览服务器,创建一个1.asp文件夹,上传一句话图片木马,成功解析成功拿下A站管理玉米SHELL。

菜刀连接上去发现还是星外主机,权限设置的比分站的还要严格,啊D牛的目录读写检测没有发现可写可执行目录,上传ASPX大马转向注册表查找。在注册表键值为HKEY_LOCAL_MACHINE\SOFTWARE\Hagel\DU Meter\找到D:\Program Files\DU Meter目录,用目录读写检测扫描了一下,发现可写,同样上传cmd运行cscript.exe读VBS获取星外用户密码和A站FTP密码。成功回显,至此A站服务器沦陷。

事后才整理出这文章然后立刻更新在了危险漫步博客上,其实在未发现分站服务器存在A站数据库配置信息时,花了很多时间测试A站管理后台验证不足的部分连接,但没有成功突破,所以文中没有出现这一失败的环节,文章没有什么技术含量,注意更多的是细节。