查看: 43115|回复: 3

(转)披露51CTO被黑过程:数据库已小范围流传

[复制链接]
  • TA的每日心情

    2023-4-12 21:54
  • 签到天数: 404 天

    [LV.9]以坛为家II

    发表于 2013-12-24 21:05:58 | 显示全部楼层 |阅读模式
    12月3日的时候小编收到一封来自黑客K的Email报告,称自己拿下了国内著名IT技术 站点51CTO,12月5日该黑客还发来了51CTO用户数据(800W+)的网盘地址。据小编了解到,12月5日51CTO确实出现过500无法访问的 状态,震惊之余的小编表示看完报告后更加的震惊,到底是什么情况,我们来了解一下吧。
    22.jpg



    据了解,51CTO站点有多个数据库,黑客入侵时间早于12月5日,passport库中大约有几十万的数据,比较重要的是ms-ku-00这个服务器的数据库,论坛(800W)以及博客(800W)的数据全都在上面。

    黑客附上了入侵过程,并且明确表示51CTO并非未开发的处女地,在他上去之后发现了多枚陈年webshell,对此小编想说,呵呵。

    不过能拿下51cto.com小编想说其实纯属是运气好,以下是被小编和谐过的黑客文档,我们先从头看。

    Part1

    下午的时候,我接了一个做网站的小项目,客户是个服装品牌的老板,希望可以仿照某品牌的网站做一个,于是打开那个品牌站点。搞网站搞多了,习惯性在域名后 面加了个robots.txt,发现居然是phpcms的站,心想把站搞下来改改图片任务不就交差了,于是用了phpcms最新的前台客户post直接获 得webshell的漏洞拿下了目标站点。
    拿下以后我缓缓的抽了口烟,很多网站最新的漏洞应该都没打全补丁,本来心想写个利用工具,但是搞站这种事情搞起来就手痒难耐,不搞两个大站下来不会过瘾的,就先搞站再研究工具。

    于是Google Hacking,构造关键字:inurl:robots.txt phpcms,得到了1000+个搜索结果,保存列表后,准备挑选目标下手。

    Part2

    翻了半天我发现www.linkphone.cn这个域名看起来比较牛逼,于是拿他开刀。

    首先在域名后面加上
    /index.php?m=member&c=index&a=register&siteid=1

    先注册了用户(还要验证邮箱),再访问:
    /index.php?m=member&c=index&a=login

    登陆前台。在前台找了半天没有发现上传头像的地方,正准备放弃,顺手在网址后面加了
    /index.php?m=member&c=index&a=account_manage_avatar&t=1

    也就是phpcms默认上传图片的地方,结果出来了上传界面,果断操起burpsuite截包传马。

    Part3
    首先将浏览器设置成burpsuite的代理:


    33.png



    然后随便选择一张图片上传,点击保存。

    这时burpsuite拦截下数据包,将拦截下来的POST包发到repeater中,然后再桌面上新建一个文件夹命名为a,再在a中加一个文件夹b,最后在b中放入php脚本。

    我一开始写入的是一句话木马,然后将整个“a”文件夹压缩成zip格式,这时候再到burpsuite中,将拦截下来的post包中原来图片的数据段删除,右键选择“PASTE FROM FILE”选取刚才压缩的“a.zip”。

    44.png



    然后点击go,当response为200时说明已经上传成功,这个时候可以停止burpsuite的拦截,随后我们查看当前头像的地址。
    /phpsso_server/uploadfile/avatar/4/10/39468/180*180.jpg

    将地址改为:拿
    /phpsso_server/uploadfile/avatar/4/10/39468/a/b/1.php

    拿出一句话工具菜刀连接,始终提示404错误,这不科学!

    Part4

    我将一句替换成习科5.1大马放进zip文件以后重复上面步骤发现可以成功上传。

    不科学的地方明显不在这里,最不科学的地方是,我随便找了个同服站点查询,居然发现这个站和51CTO同服。

    服务器的权限设置不严,我一顿乱翻之后,果然找到了51CTO的目录,打开以后小伙伴们都惊呆了! PS: @__@小编我也惊呆了!

    访问后发现51CTO的主站和分站应该都在,但是服务器做了负载均衡,于是多传了几次就顺利拿下51CTO主站了。

    55.png


    Part5

    缓缓的吐个烟圈,我发现根目录下的文件很有意思,有个2010年创建的logo.php文件,我表示很好奇,因为通过浏览器访问居然是个百度的logo,而下载回来用文本文档打开,噗。。。是个一句话小马,一句话密码是xy,猜不到是哪个前辈的,总之就是屌爆了。

    首先扫了一下webshell,发现还着不少,统计了一下有这样几个:

    /logo.php,密码:xy,木马类型:一句话

    /download/asus/help.php,密码加密:未知,木马类型:习科大马

    /cert/bazs.cert.php 密码:ri,木马类型:phpspy

    密码过于简单,也不知道都是哪个前辈的东西,要是知道了,非去She膜Gong拜他一下不可。

    然后就找数据库配置,发现这个文件的配置比较全。
    /data/www/51cto.com/cms/htdocs/wuyou/config_base_test.php

    其中大概有9个数据库的样子。看了一下博客和论坛,在里面也都有配置。

    其实每个数据库账户能访问到的数据库不止一个,我是用的SQLyog(attach.blackbap.org/down/sjku/SQLyog.rar)配置了HTTP隧道读取数据库信息,不知道前辈是用的什么工具。



    我记得前几年就有人卖51CTO的数据库,记得当时是1块钱/1W条,不知道现在什么价格



    Part6

    最后吐槽一下51CTO,网站真心做的大,但是安全真心做的差,Web服务器和数据库让你们配置成这样也算得上是奇葩一大坨了。

    //hackqing.com

    Part7 --->>>小编补充

    以上节选自黑客K发来的文档,内容有删减。

    数据库早就已经在圈内小范围的流传开来,习科借此提醒大家:请注意修改自己的密码,避免躺枪。

                                                                                                                                               转自 情'Blog
    回复

    使用道具 举报

  • TA的每日心情
    无聊
    2023-4-26 23:35
  • 签到天数: 237 天

    [LV.7]常住居民III

    发表于 2013-12-25 12:34:47 | 显示全部楼层
    沙发了  
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2017-1-5 19:19
  • 签到天数: 238 天

    [LV.7]常住居民III

    发表于 2013-12-25 21:05:58 | 显示全部楼层
    额沙发没了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2016-8-28 22:59
  • 签到天数: 10 天

    [LV.3]偶尔看看II

    发表于 2013-12-26 11:33:53 | 显示全部楼层
    嗯,好像大马是习科的。
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-11-1 13:25 , Processed in 0.027966 second(s), 17 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部