[年终征文]购买域名引发的血案-渗透某域名空间分销商

野驴~ · 发表于 2014-1-28 00:16:36

本帖最后由野驴~ 于 2014-1-29 13:57 编辑

#######################################
#  Title ：购买域名引发的血案-渗透某域名空间分销商
#  Time ：2013年12月-2014年1月
#  Team  ：08sec team
#  Author ：野驴~
#  首发： 08安全小组
#######################################

1、进后台
前段时间应朋友要求为他公司建个站，就上网找域名和空间商，看到了这个网站
搜狗截图13年11月04日2029_1.png

感觉很熟悉，原来是西部数码的分销商（个人YY）连系统都一样，都是"星浪网络域名虚拟主机分销管理系统"。习惯性的看了下网站信息
zhyima.com的Whois信息.jpg

估计管理员叫”李如群“之类，有邮箱，就放到社工库里跑一下，还真让我找着了。像这样弄域名空间的人敏感信息泄露的可能性更大。
社工库 - 泄漏密码查询.jpg

有了这些信息，进后台就不成问题了（密码不是社工库里的密码，知道他的密码习惯就不难猜解，是什么就不说了）
LRQ用户管理后台.jpg

看到了吗，账户里还有钱呢。其实这就可以直接购买域名和空间了，但是谁用管理的账户购买啊，肯定被发现吗。所以就要用一个新用户。
我建立了一个qiyi用户（因为总在爱奇艺上看视频{:soso_e113:} ），那要加钱就得操作数据库就得拿webshell啊。（后来发现如果只为加钱完全不用webshell前台就可以）
2、拿webshell
开头不是说用的"星浪网络域名虚拟主机分销管理系统"吗，就下了一套源码，在网上也没有找到现成的漏洞，就自己找半天，最后看到数据库时asa格式的，
数据库文件.jpg

这是为了防下载吧，不过如果可以把一句话插入到数据库中，说不定能解析呢，因为我们已经进后台了，找个能输入数据库的地方应该不难。最后在这里
插码.jpg

成功了。因为数据库太大，菜刀连了足足5分钟才回显，真担心把站插坏了。说句题外话，自己的媳妇省着用......
搜狗截图13年11月04日2030_2.png

权限还比较大，可以浏览盘符，发现好多好东西，你们都懂的。包括serv-u什么的，也为我们后续提权铺平了道路。
既然西部数码也用的是这套程序，那岂不是.....发大方了？亲！不用想了，西部数码已经改了很多东西了，连后台数据库都找不到。
3、加钱
说白了就是数据库操作，为什么我要说下呢，因为我看过很多教程，用菜刀操作数据库的时候总不成功，大部分原因是只用菜刀提供的默认命令，有些参数根本用不着，加了反而出错。比如

[SQL] 纯文本查看 复制代码

SELECT [u_password] FROM [UserDetail] ORDER BY 1 DESC LIMIT 0,10

，这是默认的，如果直接执行，提示出错。其实后面的 ORDER BY 1 DESC LIMIT 0,10只是个条件，完全可以不要，去掉之后就能执行了。细节决定成败。刚说到哪了？哦，加钱。找到相应表UserDetail中的相应字段执行UPDATE语句就可以，字符串型加单引号。我加了5000，其他是后面在前台加的。
加钱.jpg

再看看管理界面有钱了没，哈，瞬间变土豪那。
用户管理后台.jpg

4、消费
有了钱就可以买域名空间了，我没有实际操作，真操作了可是要被查水表的。为了文章的完整性，就截几张图好了。
购买虚拟主机，虚拟主机在线开通.jpg

有人可能说这也提不了现，用处不大。你傻啊，有了这权限，你不会在淘宝卖啊。不过如果真这么做，菊花不保是肯定的。
5、提权
刚才我们已经看到了，服务器装了SERV-U6.4，所以提权就先考虑这个了，因为是ASP的网站，所以脚本提权不太好使，你们懂得。但是这可是空间服务商啊，找几个FTP用户密码应该是可以的吧。在数据库里翻半天，找到几个”(1)spencerobinson 目录：E:\FS-FILES\= SERVER FOLDER SYSTEM = 服务器档案夹系统“登上去看看
搜狗截图13年11月05日0012_4.png

亮瞎小伙伴的钛合金狗眼，这个....这个....好吧，我就当没看见。有了这个用户，就可以考虑本地提权，把这个用户提升为管理员，再加影子用户。翻军火库，有SERV-U提权工具。在这也给大家一并奉上，还有教程哦~

6、清脚印
服务器就不说了，有脚本，clear什么的。我说下网站的登陆日志，其实也是数据库操作，网站会记录我们的登陆时间\IP等信息，我们把它改下。
清脚印.jpg

最后，祝小伙伴们新年快乐~撒花

游客，如果您要查看本帖隐藏内容请回复

efupay · 发表于 2014-1-28 00:18:37

沙发来顶你

Carter · 发表于 2014-1-28 09:19:15

不错，不过真把里面的钱消费了，你就过年可以白吃白喝了

mojitingliu · 发表于 2014-1-28 09:27:39

不错这文采着实不错啊

Bat · 发表于 2014-1-28 10:24:00

钱什么的随便花，不过你要做好准备~

Benq · 发表于 2014-1-28 11:21:06

{:soso_e162:} 大牛，你个大牛，哪里都有你

blck · 发表于 2014-1-28 11:28:29

支持个。。。。

gty48 · 发表于 2014-1-28 12:17:42

有个疑问，你是把一句话插到了/database/global.asa中
菜刀链接的时候却是

/SiteAdmin/^^^为啥

Andre · 发表于 2014-1-28 12:43:01

感谢楼主分享

野驴~ · 发表于 2014-1-28 12:58:17

本帖最后由野驴~ 于 2014-1-28 13:00 编辑

gty48 发表于 2014-1-28 12:17
有个疑问，你是把一句话插到了/database/global.asa中
菜刀链接的时候却是
/SiteAdmin/^^^为啥 ...

你一定是最认真看帖的人。原因是连上后就再写个一句话啊，数据库里的一句话执行命令得慢死。而且容易玩坏了。

[年终征文]购买域名引发的血案-渗透某域名空间分销商

点评

评分

点评

指导单位

旗下站点

联系我们