查看: 57925|回复: 26

[年终征文]购买域名引发的血案-渗透某域名空间分销商

[复制链接]
  • TA的每日心情
    开心
    2017-8-15 00:19
  • 签到天数: 126 天

    [LV.7]常住居民III

    发表于 2014-1-28 00:16:36 | 显示全部楼层 |阅读模式
    本帖最后由 野驴~ 于 2014-1-29 13:57 编辑

    #######################################
    #  Title    : 购买域名引发的血案-渗透某域名空间分销商
    #  Time   :2013年12月-2014年1月
    #  Team  :08sec team
    #  Author : 野驴~
    #  首发   : 08安全小组
    ####################################### 

    1、进后台
    前段时间应朋友要求为他公司建个站,就上网找域名和空间商,看到了这个网站
    搜狗截图13年11月04日2029_1.png
    感觉很熟悉,原来是西部数码的分销商(个人YY)连系统都一样,都是"星浪网络域名虚拟主机分销管理系统"。习惯性的看了下网站信息
    zhyima.com的Whois信息.jpg
    估计管理员叫”李如群“之类,有邮箱,就放到社工库里跑一下,还真让我找着了。像这样弄域名空间的人敏感信息泄露的可能性更大。
    社工库 - 泄漏密码查询.jpg
    有了这些信息,进后台就不成问题了(密码不是社工库里的密码,知道他的密码习惯就不难猜解,是什么就不说了)
    LRQ用户管理后台.jpg
    看到了吗,账户里还有钱呢。其实这就可以直接购买域名和空间了,但是谁用管理的账户购买啊,肯定被发现吗。所以就要用一个新用户。
    我建立了一个qiyi用户(因为总在爱奇艺上看视频{:soso_e113:} ),那要加钱就得操作数据库就得拿webshell啊。(后来发现如果只为加钱完全不用webshell前台就可以)
    2、拿webshell
    开头不是说用的"星浪网络域名虚拟主机分销管理系统"吗,就下了一套源码,在网上也没有找到现成的漏洞,就自己找半天,最后看到数据库时asa格式的,
    数据库文件.jpg
    这是为了防下载吧,不过如果可以把一句话插入到数据库中,说不定能解析呢,因为我们已经进后台了,找个能输入数据库的地方应该不难。最后在这里
    插码.jpg
    成功了。因为数据库太大,菜刀连了足足5分钟才回显,真担心把站插坏了。说句题外话,自己的媳妇省着用......
    搜狗截图13年11月04日2030_2.png
    权限还比较大,可以浏览盘符,发现好多好东西,你们都懂的。包括serv-u什么的,也为我们后续提权铺平了道路。
    既然西部数码也用的是这套程序,那岂不是.....发大方了?亲!不用想了,西部数码已经改了很多东西了,连后台数据库都找不到。
    3、加钱
    说白了就是数据库操作,为什么我要说下呢,因为我看过很多教程,用菜刀操作数据库的时候总不成功,大部分原因是只用菜刀提供的默认命令,有些参数根本用不着,加了反而出错。比如
    [SQL] 纯文本查看 复制代码
    SELECT [u_password] FROM [UserDetail] ORDER BY 1 DESC LIMIT 0,10
    ,这是默认的,如果直接执行,提示出错。其实后面的 ORDER BY 1 DESC LIMIT 0,10只是个条件,完全可以不要,去掉之后就能执行了。细节决定成败。刚说到哪了?哦,加钱。找到相应表UserDetail中的相应字段执行UPDATE语句就可以,字符串型加单引号。我加了5000,其他是后面在前台加的。
    加钱.jpg
    再看看管理界面有钱了没,哈,瞬间变土豪那。
    用户管理后台.jpg
    4、消费
    有了钱就可以买域名空间了,我没有实际操作,真操作了可是要被查水表的。为了文章的完整性,就截几张图好了。
    购买虚拟主机,虚拟主机在线开通.jpg
    购物车,亿码网络|虚拟主机|域名注册.jpg
    虚拟主机域名注册企业邮局管理中心.jpg
    有人可能说这也提不了现,用处不大。你傻啊,有了这权限,你不会在淘宝卖啊。不过如果真这么做,菊花不保是肯定的。
    5、提权
    刚才我们已经看到了,服务器装了SERV-U6.4,所以提权就先考虑这个了,因为是ASP的网站,所以脚本提权不太好使,你们懂得。但是这可是空间服务商啊,找几个FTP用户密码应该是可以的吧。在数据库里翻半天,找到几个”(1)spencerobinson   目录:E:\FS-FILES\= SERVER FOLDER SYSTEM = 服务器档案夹系统“登上去看看
    搜狗截图13年11月05日0012_4.png
    亮瞎小伙伴的钛合金狗眼,这个....这个....好吧,我就当没看见。有了这个用户,就可以考虑本地提权,把这个用户提升为管理员,再加影子用户。翻军火库,有SERV-U提权工具。在这也给大家一并奉上,还有教程哦~
    3.jpg
    5.jpg
    9.jpg
    6、清脚印
    服务器就不说了,有脚本,clear什么的。我说下网站的登陆日志,其实也是数据库操作,网站会记录我们的登陆时间\IP等信息,我们把它改下。
    清脚印.jpg
    最后,祝小伙伴们新年快乐~撒花

    游客,如果您要查看本帖隐藏内容请回复
    DATA.jpg

    点评

    数据库是直接访问不了的www.zhyima.com/database/global.asa 从菜刀里看出来一句话地址是SiteAdmin目录下的文件我估计是/SiteAdmin/DataBaseManage/Databackup  发表于 2014-1-28 12:37

    评分

    参与人数 5i币 +42 贡献 +2 收起 理由
    空中楼阁 + 4 旁站也可以进去 话说这个管理员真LJ 连虚拟.
    90_ + 16 + 2
    blck + 2 淫荡,
    C4r1st + 16 就喜欢这种。
    Diana + 4 恭喜 您中了2金币

    查看全部评分

    回复

    使用道具 举报

    该用户从未签到

    发表于 2014-1-28 00:18:37 | 显示全部楼层
    沙发来顶你
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-2-10 20:37
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2014-1-28 09:19:15 | 显示全部楼层
    不错,不过真把里面的钱消费了,你就过年可以白吃白喝了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2020-4-29 10:22
  • 签到天数: 5 天

    [LV.2]偶尔看看I

    发表于 2014-1-28 09:27:39 | 显示全部楼层
    不错这文采着实不错啊
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2016-12-9 22:01
  • 签到天数: 77 天

    [LV.6]常住居民II

    发表于 2014-1-28 10:24:00 | 显示全部楼层
    钱什么的随便花,不过你要做好准备~
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2015-11-16 10:12
  • 签到天数: 26 天

    [LV.4]偶尔看看III

    发表于 2014-1-28 11:21:06 | 显示全部楼层
    {:soso_e162:} 大牛,你个大牛,哪里都有你
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2016-9-21 14:45
  • 签到天数: 4 天

    [LV.2]偶尔看看I

    发表于 2014-1-28 11:28:29 | 显示全部楼层
    支持个。。。。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-1-28 12:17:42 | 显示全部楼层
    有个疑问,你是把一句话插到了/database/global.asa中
    菜刀链接的时候却是 0140128121646.png
    /SiteAdmin/^^^为啥

    点评

    连上后就再写个一句话啊,数据库里的一句话执行命令得慢死。而且容易玩坏了。  详情 回复 发表于 2014-1-28 12:58
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    郁闷
    2016-7-31 10:41
  • 签到天数: 43 天

    [LV.5]常住居民I

    发表于 2014-1-28 12:43:01 | 显示全部楼层
    感谢楼主分享
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2017-8-15 00:19
  • 签到天数: 126 天

    [LV.7]常住居民III

     楼主| 发表于 2014-1-28 12:58:17 | 显示全部楼层
    本帖最后由 野驴~ 于 2014-1-28 13:00 编辑
    gty48 发表于 2014-1-28 12:17
    有个疑问,你是把一句话插到了/database/global.asa中
    菜刀链接的时候却是
    /SiteAdmin/^^^为啥 ...


    你一定是最认真看帖的人。原因是连上后就再写个一句话啊,数据库里的一句话执行命令得慢死。而且容易玩坏了。
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-11-23 18:43 , Processed in 0.026023 second(s), 14 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部