思路渗透南昌教育局,误伤北师大主站

作品：思路渗透南昌教育局，误伤北师大主站作者：A11riseforme

来自：法客论坛– F4ckTeam

网址：/

其实我这次依旧是个标题党，虽然说是思路党，但还是用了点工具的。。我来想想。。有cmd，nmap，浏览器，应该就没了。。。

这个站前前后后大概搞了将近两个星期的样子，差不多就是每天放学回来撸一撸，然后慢慢搞的。。。只可惜最后还是没搞下来，如果再细心点的话应该就差不多了。

不过值得一提的，在搞这个站的过程中，不小心就把北京师范大学主站给OOXX了（真的是不小心。。。）

搞这个站完全是没有恶意的。。只是想起来初中的时候每次都是期中期末考试十五分钟之后，考试答案准时出现在这个网站上，我就很好奇，答案是早就放在这个服务器上还是十五分钟之后管理员才用U盘拷上来的。。好奇害死猫，于是我这次就好奇的想进服务器看一看，最后的结果是虽然没有拿到服务器权限，但是依然获得了浏览服务器全盘及下载的权限，以后要是答案先发出来了，我把它下载下来，嘿嘿。。。。。。

直接说目标站好了，百度搜南昌教育局，第一个就是他了，/index.htm

再说个题外话，当时我的电脑给放起来了，只好用我爸那台06年的电脑来搞了，开着酷狗还有个chrome就差不多把内存给占完了、、、实在没有工具，临时下了个nmap，这个工具应该不算差吧。。

还是老规矩，点开网站到处撸一下，把基本的信息收集到。

/fucker

Apache/1.3.41 Server at 218.64.77.2 Port 80

1.3.XX版本，这么老的apache想不到市级教育局在用。

换个大小写就返回404，说明不是windows的

乱撸了一阵，发现整站都是静态的，没有任何参数点传入，不过有一个小小的问题。。。http://218.64.77.2/images/

它允许列目录了。。。

虽然现在没啥用，留着。

在首页找到个搜索，有可能是突破点。搜索fucker，回车

果然没搜到（这不废话吗）。。重点是看地址。

:8080/search/search?collId=1&order=&sort=&rows=&query=fucker

原来8080端口还开了http服务。。。这时候nmap就派上用场了，其实早该把他拿出来了。。

Nmap -v -sT -sV -O -P0 -oX fucker.xml 检测一下目标网站的系统服务和一

些端口banner的信息导出到xml中，其实也可以在cmd那里看，但是xml更直观一点。

嗯，开放的端口有21，22，80，8080 操作系统原来是Sun Solaris 10 (SPARC)（看不清的可

以把图片拉大点看）

得知对外开放的服务之后我就到谷歌上去搜了下，看看相应版本的ftp，shh，apache有没有什么相应的漏洞了。其实apache应该是有的，不知道shh有什么远程溢出没有，能直接拿到root就不要去搞网站了。

很可惜的是，我没有找到什么值得利用的漏洞。。。可能是本人有所疏漏吧，但是貌似从服务器下手ooxx不太符合我这枚小菜的实力。。。还是老老实实的从web下手好了。

前面说到服务器还开了一个8080的端口，运行着http服务，来仔细端详一下他的页面：左上角露馅了

我不知道Gpower是什么东西，但是谷歌肯定知道。

原来是叫通元，有了模版名就好办了，再来一次：

/xapache/blog/item/c3c0473aacb3e7f515cecbe7.html

看了下，发现是6.1的版本下的cms/web/downloadFiles.jsp 文件过滤不严，存在任意文件下载漏洞。

到目标站试了一下，果然。。。。

:8080/cms/web/downloadFiles.jsp?file=/etc/shadow还有

:8080/cms/web/downloadFiles.jsp?file=/etc/passwd

就把这两个东西下下来了。。。。

有了这个能干什么？破密码啊！破了root直接ssh连上去爽歪歪啊！！！

但是我没工具啊。。。。。。无奈，干脆把这两个东西给Desperado 帮忙破解了。自己再来看看还有别的地方的突破口没有。

我们来想想apache的容器，jsp的脚本，解释引擎是Tomcat/Coyote的，如果拿到个webshell 应该就是root权限了，关键是怎么拿呢？后台上传？

好，那就开始找后台了，80端口的那个一开始就撸了，没找到，有没有site crawler之类的工具，看看8080端口，:8080/cms出来了

Jsp的网站我不太懂应该怎么入侵，看过几篇文章，依稀记得jsp是展示层，是需要调用class 文件的，而这些class文件通常是在WEB-INF目录下，无权读。那我们把class文件下载下来，用一个小工具反编译，就能得到数据库连接信息了啊。

前面用nmap得出了服务器系统是Sun Solaris 10 在这里就起到作用了，可以通过操作系统从而才出apache的配置文件路径，然后找到网站绝对路径啊！！

/forum.php?mod=viewthread&tid=2242&highlight=apache

从这里我知道了solaris的默认apache1.3的配置文件路径是在/etc/apache/httpd.conf

试试看：

:8080/cms/web/downloadFiles.jsp?file=/etc/apache/httpd.conf

好东西出现了：

下载下来看，发现之监听了80端口，没有8080端口的网站相关路径，我猜想是在tomcat 的server.xml文件中配置的，但是tomcat的server.xml文件路径我却没办法了，找不到。。。

先来看看80端口的配置吧。

ServerName 218.64.77.2

#

# DocumentRoot: The directory out of which you will serve your

# documents. By default, all requests are taken from this directory, but

# symbolic links and aliases may be used to point to other locations.

#

DocumentRoot "/ftpdata/applications/homepage"

在/ftpdata/applications/homepage/下面

往下翻，还没完。

Alias /manual/ "/usr/apache/htdocs/manual/"

Options Indexes FollowSymLinks MultiViews

AllowOverride None