目标:www#caobu#com,www#125du#com
工具:星号密码查看器
FlashFxp
话说近期Discuz! 6.0.1 UC论坛程序出现安全缺陷,直接访问论坛下的/uc_install目录,如果存在,则进入UC模块安装程序,刚好我遇到了一个Discuz! 6.0.1 UC系统的论坛(www#caobu#com)(图1,图2)
图1
图2
出于好奇下,检测一下,输入www#caobu#com/uc_install(图3)
图3
跟Discuz! 6.0.1 UC论坛程序出现安全缺陷完全敏合,Mysql name &Mysql Password都出现在眼前(图4)
图4
由于是*******星号类型的,看不到密码,所以使用星号查看器进行查看(图5)
图5
因为本人有个怪习惯,总是喜欢利用一下社会工程学来进行入侵,也出于好奇,想到一下Discuz!论坛系统下传大马拿webshell,于是试了一下在前台登陆,username:kp112083 password:lhqsc027387(图6,图7)
图6
图7
结果如自己所想,管理员没有理由这么笨,什么密码都用同一个,会导致自己很严重的,没办法,到了这一步,什么也不想了,继续试试其它的,在我入侵网站的过程中,往往一些站长会用ftp的帐号密码来做Mysql的帐号密码,所以我试了下连上ftp,连接成功(图8,图9)
图8
图9
看来我有时还挺幸运的,其实也是站长一时大意了,这是做站长的严重致命缺点!!现在拿到ftp权限了,下面干什么?呵呵...当然是传大马,提权等等的,但是我是想上一回论坛拿管理员的帐号来试一下怎么拿Discuz! 6.0.1 shell,嘿嘿,尝试一下,在搜索ftp目录发现第一个目录(图10)"125du"
图10
出于好奇进了去一看,原来这里也还有个论坛,在web下查看,这站什么也没有(图11)
图11
既然有125du,那么就让存在疯子般的思想的我有了www#125du#com的念头,来看看web下是什么网站(图12)
图12
呵呵,竟然发现是一个导航站,看到这里,相信读者会问,你怎么知道这个站与www#caobu#com有关联?看图片12,看到什么了?"进入论坛",点击进去正是www#caobu#com,那么既然是导航站,那么一定后台是Scan不到的,用明小子与啊D我都试过,Scan不到后台地址,于是我想继续撞一下自己的Lucky!继续尝试(图13)ftp帐号密码
图13
我想这次没有那么好运了吧?呵呵,想了一下,再到www#caobu#com ftp目录下看125du能不能找到什么信息,社会工程学也有寻找数字,字母等等的字符来提供自己实验密码的准确性,于是这个论坛程序下唯一有密码的就是/125du/data/sql_config.php文件,打开一看,管理员帐号:125du,密码(c9317d078f3fc6f9f5d47b8509df8a88)我就Md5过(图14)
图14
完全破解不了,最近国内有个大型的破解Md5站开始收费了,在最关键的时候它竟然会说"此信息本站已破解,需要的请交取信息费用",所以我不常去弄什么MD5,虽然社工是比较麻烦,没有耐心的随时社工不了,既然是125du是username了,那么再试一次ftp,这个ftp连接上去的速度非常慢,来看看flashFxp返回的信息(图15,图16):
图15
图16
引用:
WinSock 2.0 -- OpenSSL 0.9.8b 04 May 2006
[右] 正在连接到 www.125du.com -> DNS=www.125du.com IP=125.65.109.39 PORT=21
[右] 已连接到 www.125du.com
[右] 220 Serv-U FTP Server v6.4 for WinSock ready...
[右] USER 125du
[右] 331 User name okay, need password.
[右] PASS (隐藏)
[右] 230 User logged in, proceed.
[右] SYST
[右] 215 UNIX Type: L8
[右] FEAT
[右] 211-Extension supported
[右] CLNT
[右] MDTM
[右] MDTM YYYYMMDDHHMMSS[+-TZ];filename
[右] SIZE
[右] SITE PSWD;EXEC;SET;INDEX;ZONE;CHMOD;MSG
[右] REST STREAM
[右] XCRC filename;start;end
[右] MODE Z
[右] MLST Type*;Size*;Create;Modify*;Win32.ea*;
[右] 211 End
[右] CLNT FlashFXP 3.4.0.1140
[右] 200 Noted.
[右] PWD
[右] 257 "/" is current directory.
[右] TYPE A
[右] 200 Type set to A.
[右] MODE Z
[右] 200 MODE Z ok.
[右] PASV
[右] 227 Entering Passive Mode (125,65,109,39,8,96)
[右] 正在打开数据连接 IP: 125.65.109.39 端口: 2144
[右] 数据 Socket 错误: 连接超时
[右] 列表错误
[右] PASV
[右] 227 Entering Passive Mode (125,65,109,39,8,99)
[右] 正在打开数据连接 IP: 125.65.109.39 端口: 2147
[右] 数据 Socket 错误: 连接超时
[右] 列表错误
[右] PASV 模式失败, 尝试 PORT 模式。
[右] 监听端口: 2776, 等待连接。
[右] PORT 221,5,55,34,10,216
[右] 200 PORT Command successful.
[右] LIST -al
[右] 150 Opening ASCII mode data connection for /bin/ls.
[右] 226-Maximum disk quota limited to 51200 kBytes
[右] Used disk quota 7936 kBytes, available 43263 kBytes
[右] 226 Transfer complete.
[右] 列表完成: 430 字节 于 0.52 秒 (0.8 KB/秒)
[右] PORT 模式成功, 请更新你的站点配置文件。
[右] 421 Connection timed out - closing.
[右] 连接丢失: www.125du.com
进入每个目录都非常慢,还经常会掉线,郁闷...于是,便在/wwwroot/125ducn/目录下传了个小马,大马都被杀了,所以传个小马(http://www#125du#com/125ducn/x.asp)上传慢慢再研究(图17)
图17
web根目录为:d:wwwroot125duwwwroot
当前脚本的路径为:d:wwwroot125duwwwroot125ducnx.asp
看来又得折腾了,相信喜欢社工的朋友们都是很有耐心的,如果有喜欢入侵的不妨尝试一下来我的BBS联系与我一起交流!