思路渗透南昌教育局,误伤北师大主站
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
作品:思路渗透南昌教育局,误伤北师大主站作者:A11riseforme
来自:法客论坛– F4ckTeam
网址:/
其实我这次依旧是个标题党,虽然说是思路党,但还是用了点工具的。。我来想想。。有cmd,nmap,浏览器,应该就没了。。。
这个站前前后后大概搞了将近两个星期的样子,差不多就是每天放学回来撸一撸,然后慢慢搞的。。。只可惜最后还是没搞下来,如果再细心点的话应该就差不多了。
不过值得一提的,在搞这个站的过程中,不小心就把北京师范大学主站给OOXX了(真的是不小心。。。)
搞这个站完全是没有恶意的。。只是想起来初中的时候每次都是期中期末考试十五分钟之后,考试答案准时出现在这个网站上,我就很好奇,答案是早就放在这个服务器上还是十五分钟之后管理员才用U盘拷上来的。。好奇害死猫,于是我这次就好奇的想进服务器看一看,最后的结果是虽然没有拿到服务器权限,但是依然获得了浏览服务器全盘及下载的权限,以后要是答案先发出来了,我把它下载下来,嘿嘿。。。。。。
直接说目标站好了,百度搜南昌教育局,第一个就是他了,/index.htm
再说个题外话,当时我的电脑给放起来了,只好用我爸那台06年的电脑来搞了,开着酷狗还有个chrome就差不多把内存给占完了、、、实在没有工具,临时下了个nmap,这个工具应该不算差吧。。
还是老规矩,点开网站到处撸一下,把基本的信息收集到。
/fucker
Apache/1.3.41 Server at 218.64.77.2 Port 80
1.3.XX版本,这么老的apache想不到市级教育局在用。
换个大小写就返回404,说明不是windows的
乱撸了一阵,发现整站都是静态的,没有任何参数点传入,不过有一个小小的问题。。。http://218.64.77.2/images/
它允许列目录了。。。
虽然现在没啥用,留着。
在首页找到个搜索,有可能是突破点。搜索fucker,回车
果然没搜到(这不废话吗)。。重点是看地址。
:8080/search/search?collId=1&order=&sort=&rows=&query=fucker
原来8080端口还开了http服务。。。这时候nmap就派上用场了,其实早该把他拿出来了。。
Nmap -v -sT -sV -O -P0 -oX fucker.xml 检测一下目标网站的系统服务和一
些端口banner的信息导出到xml中,其实也可以在cmd那里看,但是xml更直观一点。
嗯,开放的端口有21,22,80,8080 操作系统原来是Sun Solaris 10 (SPARC)(看不清的可
以把图片拉大点看)
得知对外开放的服务之后我就到谷歌上去搜了下,看看相应版本的ftp,shh,apache有没有什么相应的漏洞了。其实apache应该是有的,不知道shh有什么远程溢出没有,能直接拿到root就不要去搞网站了。
很可惜的是,我没有找到什么值得利用的漏洞。。。可能是本人有所疏漏吧,但是貌似从服务器下手ooxx不太符合我这枚小菜的实力。。。还是老老实实的从web下手好了。
前面说到服务器还开了一个8080的端口,运行着http服务,来仔细端详一下他的页面:左上角露馅了
我不知道Gpower是什么东西,但是谷歌肯定知道。
原来是叫通元,有了模版名就好办了,再来一次:
/xapache/blog/item/c3c0473aacb3e7f515cecbe7.html
看了下,发现是6.1的版本下的cms/web/downloadFiles.jsp 文件过滤不严,存在任意文件下载漏洞。
到目标站试了一下,果然。。。。
:8080/cms/web/downloadFiles.jsp?file=/etc/shadow还有
:8080/cms/web/downloadFiles.jsp?file=/etc/passwd
就把这两个东西下下来了。。。。
有了这个能干什么?破密码啊!破了root直接ssh连上去爽歪歪啊!!!
但是我没工具啊。。。。。。无奈,干脆把这两个东西给Desperado 帮忙破解了。自己再来看看还有别的地方的突破口没有。
我们来想想apache的容器,jsp的脚本,解释引擎是Tomcat/Coyote的,如果拿到个webshell 应该就是root权限了,关键是怎么拿呢?后台上传?
好,那就开始找后台了,80端口的那个一开始就撸了,没找到,有没有site crawler之类的工具,看看8080端口,:8080/cms出来了
Jsp的网站我不太懂应该怎么入侵,看过几篇文章,依稀记得jsp是展示层,是需要调用class 文件的,而这些class文件通常是在WEB-INF目录下,无权读。那我们把class文件下载下来,用一个小工具反编译,就能得到数据库连接信息了啊。
前面用nmap得出了服务器系统是Sun Solaris 10 在这里就起到作用了,可以通过操作系统从而才出apache的配置文件路径,然后找到网站绝对路径啊!!
/forum.php?mod=viewthread&tid=2242&highlight=apache
从这里我知道了solaris的默认apache1.3的配置文件路径是在/etc/apache/httpd.conf
试试看:
:8080/cms/web/downloadFiles.jsp?file=/etc/apache/httpd.conf
好东西出现了:
下载下来看,发现之监听了80端口,没有8080端口的网站相关路径,我猜想是在tomcat 的server.xml文件中配置的,但是tomcat的server.xml文件路径我却没办法了,找不到。。。
先来看看80端口的配置吧。
ServerName 218.64.77.2
#
# DocumentRoot: The directory out of which you will serve your
# documents. By default, all requests are taken from this directory, but
# symbolic links and aliases may be used to point to other locations.
#
DocumentRoot "/ftpdata/applications/homepage"
在/ftpdata/applications/homepage/下面
往下翻,还没完。
Alias /manual/ "/usr/apache/htdocs/manual/"
Options Indexes FollowSymLinks MultiViews
AllowOverride None