ilx 发表于 2012-9-4 18:49:41

检测魔鬼作坊。

本帖最后由 ilx 于 2013-8-28 11:38 编辑

很早之前的文章了, 思路不是很清楚 , 表达的意思也不是很清晰 大家见谅



======================================
某天 发现个论坛 :魔鬼作坊 ( www.moguizuofang.com)

I :

主站是 Discuz! 7.0 或者 7.2的 (不记得具体的了应该也没什么漏洞。



先查了旁站好像有几个 记得 旁站没希望一个都搞不下
   
于是查了查 whois 信息    (搜集了一些网站站长的信息)
   发现了个126 或 (163)的邮箱不知道密码咋办啊。 www.bamaba.com这里面去查了查 有记录(相信现在黑阔都有自己的社工库了吧)
于是拿着 这个密码 可惜登陆不上 然后看了看 找回密码 验证问题是
(我也忘了 )但是是几个字母 而且我看到过类似的 是他那个站长的QQ个人说明 那个上面写写着的
于是重置了密码   (密码问题 和 站长个人说明上的字母 不一样很类似 )
登陆上了邮箱 发现域名是 IDC.Admin5.com是这买的 。翻到了一封 他在其他网站注册的信息 连同账号密码都显示在上面
于是 拿着这个密码 登陆了 IDC.Admin5.com发现空间并不是在那购买的

找了台服务器 域名劫持之

过了一夜网站已经恢复了163(126) 邮箱密码被改 加了手机验证 无法重置密码


II:
   不知道是旁站 还是 魔鬼作坊那个站 点开了个链接 就蹦出来个 空间商注册的二级域名(这个是真忘了。上面也是)
开搞吧 www.ebadu.net 八度网络
那个时候的八度网络网站用的是

华众虚拟主机管理系统

主站可能是不行的。(旁站查了查 就他自己的网站)
从分站入手吧。
查询分站 网上也有好多工具的。
我谷歌了一下。
查到个论坛
bbs.ebadu.net    论坛采用的是Discuz 7.2
看了几个管理 复制用户名www.bamaba.com 直接查询
获取密码 后台UCenter拿webshell
进去数据库拖了。 获得会员数据 。
论坛admin 的密码www.ebadu.net密码并不是一样的。
找到了一个用户 ebaduyang   带ebadu 很有可能是他的工作人员
md5+salt 带到cmd5里进行破解 密码出来了。
用这个密码登陆了126邮箱。

//////////////////////////////////////
汪冕,您好!
    您在八度网络的会员帐号密码已被修改!
欢迎您使用我们的服务,以下是您的帐号信息:
用户名:admin
密 码:zhangtingtingwangmian727
/////////////////////////////////////
发现并不能登陆www.ebadu.net
肿么办?

此时 想到了 ebaduyang这个账号
不知道密码肿么办?
数据库信息 和 163提示的信息 发现此人叫汪洋
密码就用这个wangyang试试吧 (现在密码改了)
果然的登陆上去了。上面写着代理商
翻看了 他的空间产品列表
发现了个 与魔鬼作坊 www.moguizuofang.com 同IP 的空间 拿着FTP密码上去了。
发现权限非常BT啊。只支持ASP+php脚本 如果 支持aspx 提权几率是不是更大?
现在怎么搞?。 发现空间产品列表 上面 可以升级 产品选了一个 .net类型的 花了一点钱。 反正又不是我的钱。他钱有很多。
过了一会 发现怎么还不支持 aspx脚本啊。 唉 有问题找客服把。把问题和客服说了,客服叫我等待, 过了一会 空间就支持aspx了。
唉唉 aspx也不行啊。 不过找到了mysql的目录 权限没设置好{:soso__14422195364794118538_4:}下载了user数据。 唉唉、用户全部解不出来。仔细想想 一般 产品的密码
都是高强度随机密码 。    
唉唉。 肿么办、?

此时手在网站后面加了个 admin
http://www.ebadu.net/admin
{:soso__11824716995429377336_2:}
管理后台登陆的 。拿着这个账号密码登陆上去。。。。。。。。。。。。
竟然是管理。。。一看日志 发现有好几个用户 是管理
拿着 whois 信息 搜索到了 他购买的产品

拿到了 mysql密码 FTP密码也都是那样 随机高强度的
打开了www.moguizuofang.com。发现一件很蛋疼的事。 他此时的空间已经转移了 换到其他空间去了还有个公告 说什么 在转移数据的。。
唉。。还是拿着IP登陆上去了。 (因为 他产品并没有过期) 发现他的数据还在里面如果 提前几天的话 说不定可以记录他的登陆密码。
上了旁站 上传个拖裤脚本 把库拖了。    (估计是前几天的域名劫持打草惊蛇了。 )



算了算了。。。


III:又过了几天 发现那个http://www.ebadu.net/adminwww.ebadu.net有个xss 其实一开始就发现了 只是没利用。
http://www.ebadu.net/errer.asp
利用这个xss 盗取了一个客服的cookie
发现 这个客服账号权限不是很大。


就这样结束了吧。。。不想写了。。没图实在不好。。



浪子 发表于 2012-9-4 19:02:51

支持原创作品

Pony 发表于 2012-9-4 19:03:16

支持原创,重在思路。

xiaocainiaodj 发表于 2012-9-4 19:22:15

xiaolingluan 发表于 2012-9-4 19:30:10

xiaoshuai 发表于 2012-9-4 19:37:00

学习啦~~~谢谢楼主

mrquan 发表于 2012-9-4 19:44:53

学习下 苦于修炼中

mrquan 发表于 2012-9-4 19:46:13

看不懂啊太复杂了

0807 发表于 2012-9-4 19:59:05

许多网站都要vip要是都能破了,呵呵

xiaolingluan 发表于 2012-9-4 20:08:24

页: [1] 2 3 4 5 6 7 8 9 10
查看完整版本: 检测魔鬼作坊。