渗透菲律宾星报官网

0x1

2012-4.28对菲律宾星报主站进行了一次渗透。在渗透进主站服务器后,由于目标服务器遭遇到国内肥猪流黑客的DDOS攻击,导致服务器无法连接,也就没有成功格掉主站硬盘和挂首页了。

以下是渗透过程,没什么亮点。全凭经验~ 大牛勿喷

0x2

首先扫描主站WEB的目录。 得到fck编辑器。但目录被删。无法利用。 web是 iis6+aspx。 扫了一遍后没有发现注入点, 于是打算迂回渗透进去。 (人家驴子也不是太白痴)

开始扫描C段,整理子站域名和IP。 得到 .171 .172 。 173 174 175 则是主站IP。 使用域名组合,google寻找注入点。 5分钟后, 一个 asp?=1-0 -1 返回错误。让我断定让是注入点

于是丢大罗卜havij跑了下. 确实是注入点。还是ROOT ,但是利用起来太麻烦了.

0x3

拿到注入点后,首先看到GPC没开, 通过构造语句报错,得到了网站路径。 然后尝试写入木马到网站目录,以为这样就秒下了,可是并不成功。 (后来才知道,根本没权限写) 之后就放弃写入文件,因为网站有phpmyadmin

所以想读取配置文件,然后用phpmyadmin拿shell 。 但是也不成功。打开显示403 应该限制IP了= =! 这下悲催了。 让机友rices去读源码,看能不能用源码漏洞拿shell。 我自己择去看数据库了..

0x4

群 里的大C突然跟我说, 网站的路径是C:xampphocst 可能是用的xampp套件。如果是的话,就会有FileZillaFTP软件。 FTP软件下会保存MD5的 FTP密码。 于是就去读C:xamppFileZillaFTPFileZilla Server.xml 。

密 码出来了,跑去连接,结果苦逼的密码错误.. 用root密码试了下,也不行。估计ftp是废弃的了…一下子又迷茫了。 ….注入点仍这里了,跑去看172服务器的WEB。 发现都是一套程序。应该系统是一样的配置。于是一样的读ftp。结果这台服务器FTP能登录。 果断穿上phpspy。 执行cmd whoami , 居然返回system….. 牛逼大了。 果断让rices那个围观群众去开3389,而我则去分析172的服务器。 突然看着IP ,眼前一亮。171的ftp帐号是, 域名加171

那172的会不会是域名加172了。 果然是的…,于是两台服务器沦陷。

0x5

进入星报的分站服务器后,就开始内网渗透。 内网也无非就这几个方法.. 抓hash密码没抓出来,想用那个windows注入出密码。但没找到工具.. 本机两台服务器开了vnc, 果断读取注册表,取得vnc的加密密码,拿去解密后。成功连接目标主站服务器…

91ri.org点评:在很多的内网环境情况下 密码或者账号都有可能涉及到与ip等等相关的, 文章的细心耐心是亮点。还有 小编看出 貌似这个是组团黑站啊 呵呵。

本文作者:yingzi 转自凯里博客由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。