危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18790358

虚拟主机提权

在一次全校的公选课上,鄙人正在百无聊赖地四处张望,突然发现前方不远的地方坐着一个漂亮MM,正是我非常喜欢的那种类型。我心里就盘算着怎么能和她认识一下。可是一看时间,马上就要下课了,刚好这个时候老师开始点名,我就开始留神想要记住MM的芳名。当老师念到“杨珊”的时候,那个MM答了声到,就这样我知道了MM的大名。

直接上去搭讪未免也太过唐突,搞不好还容易引起MM的反感,还是采取迂回的战术比较好一些。我们学校有一个论坛,规模还是比较大的,学校里面的学生基本都在上面注册了。最重要的一点是这个论坛是采取实名制管理的,只要能够拿到论坛的数据库,我不就能够轻而易举的拿到MM的信息了吗?想到这,我得意的笑了……

打开我们学校的论坛,在页尾发现了“Powered by Discuz! X2”。这套系统因为关注的人非常多,所以就算有什么漏洞估计早就补上了,所有先不考虑从论坛的漏洞人手。

首先想到如果能够利用社会工程学拿到管理员的密码应该是个很不错的选择,既省时又省力。于是我查了一下网站域名,并且发现他用的是QQ邮箱,在他的QQ空间查看“个人档”之后得到他的生日:1988-06-26;进入他的留言板,查看他回复别人的留言得到他的手机号为:135*****871;最后通过上面这些得到的所有信息用“Google Hack”又查到了很多他的私人信息。说句题外话:通过小小的一个域名就能挖掘出这么多的私人信息,大家一定要注意保护好自己的私人信息啊!

言归正传,我用他的名字、手机号、生日等信息组合猜解他的密码都没有成功,看来只能换一条思路了。

当我知道网站是一台虚拟主机,接下来我就开始辛勤地工作了:对这些网站逐一的进行测试,希望能够找到安全弱点拿到webshell。功夫不负有心人,经过一番努力,发现站点使用的是“dedecms v5.6”整站系统,并且后台目录是默认的“/dede/”。这个系统曾经爆出过漏洞,可以通过构造url绕过验证进入后台。

“Dedecms v5.6”的后台拿webshell还是比较容易的,依次打开“模板”,“标签源码管理”,“增加一个新的标签”,然后把php木马的源码粘贴进去并保存,很容易就得到webshell。打开webshell后发现服务器的操作系统是“FreeBSD 8.1-RELEASE”,并且权限卡得很死,不能跳转到其他用户的目录,这样就没办法查看到学校论坛的数据库了。我该怎么办呢?沉思片刻,用scanport这个小工具扫描了一下服务器开放的端口,希望能够发现一点有利用价值的东西。

端口号为8081的那条结果引起了我的注意,因为一些虚拟主机为了方便用户管理自己的网站,会用80端口以外的端口(8080端口的比较常见)提供一个管理平台。扫描出的8081和8080十分相近,也有可能是提供某种web服务的。在浏览器中打开,发现的确是对外提供web服务的。

根据经验,一般来讲虚拟主机管理平台出于管理的需要,通常该程序所在目录的权限要高于虚拟主机用户的目录权限。我用之前得到的webshell在服务器上仔细查找,终于找到了这个8081端口对应的绝对路径,并且惊喜的发现该目录是属于root的!。

马上上传webshell到“linux_expl”目录,用webghell自带的命令执行功能执行“whoami”命令查询当前用户,结果不出所料,果然是root。

既然拿到了最高权限,一切就变得简单而顺利多了。我很快就在服务器上找到了学校论坛所在的目录,并且在论东的数据辱连接文件里找到了连接数据库的用户名和密码,在webshell的“MYSQL Manager”里面,填入获得的用户名和密码,成功连接到了我们学校论坛的数据库。

找到论坛存放用户信息的表“pre_common_member”,执行命令“SELECT'FROM pre_common_member where username=杨珊(这条命令的意思是列出“pre_common_member”这个表里面用户名“杨珊”的所有信息)。

就这样,经过不懈的努力,我终于得到了MM的Email、手机号、QQ号以及各种号……

结局是可悲的,MM只对我说了一句话:人家已经有心上人啦!我的内心是崩溃的。