渗透菲律宾星报 官网

首发九区：www.dis9.com
作者：yingzi & www.7xz.us
渗透目标:www.philstar.com
   起因
           2012-4.28对菲律宾星报 主站进行了一次渗透。在渗透进主站服务器后，由于目标服务器遭遇到国内肥猪流黑客的DDOS攻击，导致服务器无法连接，也就没有成功格掉主站硬盘和挂首页了。
  过程
首先扫描主站WEB的目录。 得到fck编辑器。但目录被删。无法利用。   web是 iis6+aspx。 扫了一遍后没有发现注入点, 于是打算迂回渗透进去。 （人家驴子也不是太白痴）。开始扫描C段，整理子站域名和IP。 得到 .171 .172 。    173 174 175  则是主站IP。使用域名组合， google 寻找注入点。5分钟后， 一个 asp?=1-0  -1 返回错误。让我断定让是注入点
于是丢大罗卜havij跑了下. 确实是注入点。还是ROOT ，但是利用起来太麻烦了.
拿到注入点后，首先看到GPC没开， 通过构造语句报错，得到了网站路径。 然后尝试写入木马到网站目录，以为这样就秒下了，可是并不成功。 （后来才知道，根本没权限写） 之后就放弃写入文件，因为网站有phpmyadmin,所以想读取配置文件，然后用phpmyadmin拿shell 。 但是也不成功。打开显示403  应该限制IP了= =！ 这下悲催了。 让机友rices去读源码，看能不能用源码漏洞拿shell。 我自己择去看数据库了..
群里的大C突然跟我说， 网站的路径是C:\xampp\hocst\ 可能是用的xampp套件。如果是的话，就会有FileZillaFTP软件。  FTP软件下会保存MD5的 FTP密码。 于是就去读C:\xampp\FileZillaFTP\FileZilla Server.xml 。
密码出来了，跑去连接，结果苦逼的密码错误.. 用root密码试了下，也不行。估计ftp是废弃的了...一下子又迷茫了。  ....注入点仍这里了，跑去看172服务器的WEB。 发现都是一套程序。应该系统是一样的配置。于是一样的读ftp。结果这台服务器FTP能登录。 果断穿上phpspy。 执行cmd  whoami  ， 居然返回 system ..... 牛逼大了。 果断让rices那个围观群众去开3389，而我则去分析172的服务器。 突然看着IP  ,眼前一亮。171的ftp帐号是， 域名加171
那172的会不会是域名加172了。 果然是的...，于是两台服务器沦陷。
进入星报的分站服务器后，就开始内网渗透。 内网也无非就这几个方法.. 抓hash密码没抓出来，想用那个windows注入出密码。但没找到工具..  本机两台服务器开了vnc， 果断读取注册表，取得vnc的加密密码，拿去解密后。成功连接目标主站服务器...  可就在这个时候，苦逼的服务器挂了，以为被发现。 打开仍无管理器，没人在阿 ...ping了下IP  ，死了。。。。。  DDOS黑客太威武了...瞬间就无语了，搞了大半夜 ，首页也没挂上...
艰难的挂了子站的首页...

附主站数据库下载 ：http://www.filedropper.com/file_117