检测某黑客联盟

今天群里的 飘.sky 扔出一个网络安全站.说白了就是黑客站,说是忘忧小子给他的,这小子最近老不在群里说话,原来是去黑别人黑客站去了,这家伙真坏,群里的兄弟,肯定要帮他测试一下了,下面是过程。1、信息探测
经过扫描发现,目标站存在bbs,blog ,还有一个网络硬盘,bbs最后经过测试是94kbbs,blog是pjblog2.7的,网络硬盘是XxaspDisk,由于是黑客站,所以未进行注入等的测试。

2、二级站入侵
由于主站不好下手,所以我们准备直接从bbs,以及网络硬盘入手,pjblog也不太好日,最初我是从网络硬盘入手的。用测试账号guest是传,过滤很严格,无法上传。最后利用控件上传,可以成功上传 *.asp;1.jpg类型的文件 ,但是找不到文件路径。这网盘长的有点像桃源的网站,但是以前没有见过,所以经过信息收集发现是XxaspDisk,马上去下载一个源码回来研究,发现利用控件上传的文件居然是直接写在数据库里面,郁闷,由于上一次的上传已经把数据库写坏了。没有办法了,放弃。

94k的bbs 2.1好像没有什么0day,以前也没有黑过,所以下了源码以后,直接查看是否有默认数据库,结果没有发现,看来黑客站的确比一般的站要强大。

3、从idc入手
无意中在网盘登陆那里看到友情连接里面有一个 idc.xxx.org 看来站长还做idc业务呀,真是个牛人,当然这也成了这次入侵最大的转折点。

对idc.xxx.org进行测试,发现和目标站www.xxx.org不是在同一服务器,先不管他,直接去idc注册一个用户,申请试用空间,哈哈,没有想到居然可以试用数据库,直接申请试用一个mssql数据库,注册成功以后,得到一个二级域名,一个免费的50m mssql数据库,当然网站自动开通了ftp ,马上上传一个aspx马,没有想到居然试用的网站都支持aspx 人品暴发了。上传以后直接利用aspx马的数据库连接功能连接数据库。(这里需要说明的是,IDC网站和目标站不在一个服务器上面,但是通过idc开通的网站却和目标站在一个服务器上面,因为星外的服务端和受授端是可以分离的,本次的情况就是这样的了。)

1.jpg  大小: 45.93 K 尺寸:  x  浏览: 2 次 点击打开新窗口浏览全图

连接以后发现是星外的虚拟主机,根据牛人总结的经验,我们可以直接备份我们的马到 d:\freehostmain 目录下面,但是结果发现D盘没有存在这个目录,因为此方法不行,我们就只能对freehost目录进行列目录了,结果出来了800多个网站,只能一个一个的试了。

4、可爱的fckeditor
经过多次测试,依然没有找到目标站的路径,时间已经过去了两个多小时了,心想,真要是这样漫无目的的试下去,估计我会试到花儿都谢了,眼睛都瞎了还不行。换思路……
记得前面zblog出过一个爆路径的漏洞,详细情况请见http://www.waitalone.cn/post/586.html ,这个漏洞是利用的Fckeditor的漏洞,而pjblog也是利用的fckeditor,那我们是不是也可以利用这个漏洞进行测试呢?有想法就要去实践,马上实施:
http://www.xxx.org/blog/FCKeditor/editor/dialog/fck_spellerpages/spellerpages/server-scripts/spellchecker.php  (URL链接已处理) ,结果可爱的路径出来了

2.jpg  大小: 35.4 K 尺寸:  x  浏览: 4 次 点击打开新窗口浏览全图

有了路径当然就可以直接备份了,如下图,已经成功把一句话备份到目标站的blog下面

3.jpg  大小: 61.07 K 尺寸:  x  浏览: 6 次 点击打开新窗口浏览全图

最后成功搞定目标站

4.jpg  大小: 21.54 K 尺寸: 475 x 178 浏览: 2 次 点击打开新窗口浏览全图

本文作者独自等待由网络安全(www.91ri.org) 收集整理.