一.用被盗号码找房子
今天打开QQ邮箱,可以看到组邮件
这个商品以发送派对照片为名提供了网站
默认设置
http://202.194.131.20/xcb/xcb/link.PHP? id=73 URL=http://yyhhj.emy.in/cc/933046
1
http://202.194.131.20/xcb/xcb/link.PHP? id=73 URL=http://yyhhj.emy.in/cc/933046
这个网站的前半部分是
默认设置
http://202.194.131.20/xcb/xcb/link.PHP? id=73
1
http://202.194.131.20/xcb/xcb/link.PHP? id=73
在正规站点的地址上,只需调用link.php的url参数将页面移动到
默认设置
http://yyhhj.emy.in/cc/933046
1
http://yyhhj.emy.in/cc/933046
因为是这个盗号者制作的网站,所以QQ邮箱没有把它当成垃圾邮件来处理,而是被它附身了。
出现类似QQ空间的页面,谨慎的人会发现它与真正的空间不同
不过,这个被盗网站做得真的很好,不认识的人只能直接输入QQ号QQ密码,说是被盗了。
即使在百度上点击这个网站,这个商品发送的地方还是很多的。 因为理由也很多,所以可能会被骂。 哈哈哈
二.初探
不能直接做这个车站。 另外,马上挂断,考虑取掉它的域名提供商。
但是,拉在最下面的时候发现了好东西
点击后,果然是域名提供程序
三.抽壳
尝试弱密码失败了。 这样的站基本上是静态的,没有注入,所以直接做这个域名提供商的站似乎很难。 那么试试旁注吧
其中,前两个是域名提供商,第三个站点已经没有了,唯一的希望是第四个
扫了一眼剑,发现后台和两个上传页面
很遗憾,两个上传页面之一是空白页,一个需要登录,在后台尝试弱密码也失败了
观察后台,在名为PiPi的CMS上,百度下也没有发现任何漏洞
没办法,我试着下载那个源代码。
翻过来,找到了一个叫cfeditor/ckfinder的编辑器组合
运气真好。 因为名为cfeditor/ckfinder的编辑器组合可以在不经过任何验证的情况下上载文件。 而且功能丰富,可以上传文件、创建新文件夹、重命名文件。 撞到也没有限制的话很爽。 哈哈。
(这里好像打不开IE,可以用Chrome或FireFox打开。)
刚才查旁注时,发现服务器使用的是iis6.0,所以会有人分析漏洞吧
直接上传脚本格式的马一定会全军覆没,1 .上传PHP; jpg又改名了
上传1.php; jpg也不行,更名回来也不行
只能做文件夹。 首先做了sky.php的文件夹,上传了jpg后缀的马。 (91ri.org注: iis分析漏洞只能分析*.asp、*.asa和*.cer文件夹。 * .无法解析PHP。 ) )。
访问时很悲剧,表明没有这份文件
不甘心,预料服务器会支持asp,于是重新创建了sky.asp的文件夹,告诉他马解析成功,用菜刀连接,得到了这个站的webshell。
通常可以读取D:www以下的目录,但只能写入本站的目录。
四.直奔目标
重新整理一下思路,我的目标站是这个免费域名,所以改变这个网站有三条路。
第一,该免费域名和域名提供商在相同的服务下,通过提取权利获得
第二,如果获得管理员密码,则推测您有权更改此免费域名
第三,获得注册这个免费域名的用户名密码,登录他的用户后台,更改网站
如果Ping此域名,并且不与域名提供程序在同一服务下,则第一条路会断开。 分析以下两条道路。
虽然这两条路都需要获取用户名的密码
这个站是MySQL的数据库,所以就通过执行MySQL语句来查询、修改。首先找到数据库连接文件,人品不错,竟然直接就是root权限
好吧,首先找域名提供商的管理员密码查库,目标数据库是yakuy
查表,管理员用户名密码应该在sf_admin这个表中,而注册人用户名密码应该在sf_user这个表中
查列查内容,用户名密码出来了这个密码的加密方式是md5($apstr.md5($pass)),就是先把密码通过md5加密,再把apstr的值放在加密后的md5前面,整体再进行md5加密。(md5均为32位。多亏了kxdxbw老大那篇文章我才知道是这样加密的。= =)
比如我的密码是sky,通过md5加密后是900bc885d7553375aec470198a9514f3,apstr我取它原来的值uywIkQg72,那么整体就是uywIkQg72900bc885d7553375aec470198a9514f3,再取md5,就是fc85c28cef35b622655e24edd2558ce5
直接对管理员的用户密码解密有点麻烦,干脆直接加一个管理员用户,用户名密码都是sky
登录成功
在后台翻了一下,发现只能删除域名,不能修改域名指向,而我又想挂个菊花聊天室提醒下点进来的人,所以我干脆也直接进盗号者的账户算了,不过这个就不能像添加管理员那样添加了,就直接修改他的密码吧,也省的他继续申请域名来祸害他人。
操作基本上和前面一样,用户名是邮箱,密码是一样的加密方式md5($randstr.md5($pass))
修改他的密码成功
成功登录
到了这步结果悲催了,捣鼓了半天都没法把域名转发到一个菊花聊天室上,郁闷啊,求指点啊~~~
结果最后只有把挂菊花聊天室的念头放下了,直接删域名算了。。。
继续在后台里翻,结果发现这货有一堆帐号,还在不断的注册帐号、注册域名
只能说这货精神可嘉,行为可耻了。。。= =
删完他的域名,把他要解析的ip丢入黑名单,拍拍屁股走人
[via@伶俐的眼神]
91ri.org点评:很久没看到这么详细的反黑过程了,文章思路较清晰,可以作为一篇不错的新手教程来看,文中涉及到一些渗透测试思路的基础(包括但不局限于域名劫持、旁注、利用解析漏洞拿webshell等等),推荐刚刚入门的同学仔细阅读。