刺球网络安全社区

 找回密码
 立即注册

新浪微博登陆

只需一步, 快速开始

QQ登录

只需一步,快速开始

搜索
查看: 630|回复: 2

友情检测DELL某分站心得分享

[复制链接]

 成长值: 215966

新浪微博达人勋

  • TA的每日心情

    2019-8-22 09:24
  • 签到天数: 23 天

    [LV.4]偶尔看看III

    1134

    主题

    1717

    帖子

    37万

    积分

    管理员

    技术指数:★★★★★

    Rank: 9Rank: 9Rank: 9

    积分
    376199

    社区QQ达人最佳新人活跃会员热心会员推广达人宣传达人灌水之王突出贡献优秀版主荣誉管理论坛元老

    QQ
    发表于 2018-8-24 03:33:29 | 显示全部楼层 |阅读模式
    一、写往前面的话
    对于我们这类人而言(你懂的),不管是在论坛、QQ还是现实生活中,经常会被问到“如何去入侵网站?”或“教我做黑客吧!”之类的话题。面对绝对真诚和如此虔诚的此类未入门的朋友,我也会像很多人那样用一句“上百度Google吧!”来搪塞,虽然自己也不是什么高手,因为我们都知道这看似简单的一句问话的背后,其实是一个几乎无边无际的答案。从使用X-Scan扫描登录远程3389、Win2000输入法漏洞、DameWare远程控制到网站的注入检测、“小马传大马”等等;这一路走来可谓像是在地上捡芝麻一样,所有的东东都是一点一点地积累起来的,这又岂能用一个“容易”来形容?以前不太理解古希腊哲学家芝诺的“大圆与小圆”的含义(或者说非常肤浅),但通过在“黑道”上混的这几年,我是真体会到了“圆越大,外面的‘无知’面也越大”的道理。我们的老话这样说——“博观而约取,厚积而薄发”(出自《稼说送张琥》),意思是指要经过长时间有准备的积累方能在将来有所作为。如果你想真正拥有点儿什么的话,建议平时把别人玩儿游戏和看电影的时间用来多泡泡技术论坛,多学几个教程,多尝试一下,相信人人都能把小芝麻捡成大西瓜的。
    嗦了一大堆,是源于今天的一次对成都Dell的友情检测经历,起因是帮一个xx的朋友购买电脑。绝对没有什么所谓的入侵理由(貌似是“职业”习惯),就是一时兴起,想看一下而已,呵呵。结果很是出乎自己的意料,竟然是很戏剧性地拿到了WebShell,而且通过Google,N多的名牌网站都……都有哪些?先不告诉!且看下文。
    二、友情检测过程
    受近些年注入检测的思维定式的熏陶,我直接按照惯例在目标网站首页点击“产品展示”,然后再点击进入朋友中意的“XPS 14zd-118”产品介绍已做处理,请勿对号入座),将此链接复制粘贴到“阿D注入工具”的“SQL注入检测”中,点击“检测”按钮,结果“啊D”太痛快了,马上就提示“这个连接不能SQL注入!请试别的连接!貌似注入就成了死路一条。转而一想:也是哈,堂堂的Dell,哪能这么容易就被你搞啊(谁知很快我就推翻了自己的这个结论)?
    201704191492586050409884.jpg
    对这个URL链接盯了一会儿,思考:难道会没有“洞洞”?注入失败,再试试扫描其开放的端口?还是到进行“同IP站点查询”来尝试旁注呢?正在犹豫间,忽然灵光一现,这链接中的“shopxp”字眼儿不就是传说中的“网上购物系统”么(哥在年前就过了英语六级的)?最为关键的是,以前好像看到过“ShopXP漏洞入侵”的教程!赶快翻看自己的笔记本(是真的用笔记录的本子啊),果然找到了曾经有个v8.O的ODay漏洞,那就试一下“大牛”的方法一一转换代码绕过防注,进行联合查询。将那串长长的漏洞利用代码(TEXTBOX2.AS P?action=mo dify&n ew s%69d=122%20and%201=2%20union%20select%201,2,admin%2bpassw ord,4,5,6,7%20fro m%20sh opxp admm)附加在目标网站的域名。之后,放到360浏览器地址中访问,哈哈,太强了,一下就暴出了管理员账号及MD5加密密码):admin58a7696e059flbce!’在此需要多说一句:由于被暴出来的账号与MD5密码是连接在一起的,如果账号不是最为常见的“admin”,分开的技巧是从后面截取16位(或32位)MD5密码,那么剩下的前面字符就是管理员账号了。
    接着,将这个MD5密码“58a7696e059flbce”拿到在线网站上进行破解,查询出结果是“cdyckj”。
    再接着,就应该是到后台登录了,不过后台地址是什么呢?继续在笔记中翻找,系统默认的应该是“admin_shopxp/index.asp”,与域名组合成进行访问,“嘭”的一声,浏览器提示“无法找到该页”。咦?管理员“竟然”更改了?因为拿不到后台登录地址,即使你有账号和密码也是没什么威胁的。不过,既然管理员设置了这样的一个轻易就被破解的MD5密码,说明他的安全防护意识绝对强不到哪儿去,因此我们就没有理由找不到这个后台登录地址!虽然刚才的“啊D”表现不太给力,但用来找找后台应该还是有几分把握的。将URL链接扔到“管理入口检测”中,很快就出来了。复制粘贴到浏览器中访问,出现了欢迎界面,将账号、密码和验证码分别输入,点击“管理登陆”按钮,成功进入了后台管理界面。
    走到了这一步,其实足已说明这个Dell的XX分站实在是与它响当当的名气不成正比。先不忙着退出,先大体看一下它的“管理中心”吧。嗯,有“商品管理”,应该可以上传JPG图片文件;也有“数据库备份”,拿WebShell的希望比较大!那就试一下吧,点击左侧菜单下的“商品管理”.“所有商品管理”,仍选择之前看中的“DELL戴尔XPS 14zd-118”商品,下方出现了一个在线编辑器。点击“插入图片”按钮,在弹出的对话框“图片文件:”处点击“浏览”按钮,选择之前已经将.asp扩展名修改为.jpg的52KB“马儿”,再点“上传”按钮,成功!不用使用“查看源代码”功能,网站直接提示了刚刚上传“图片”木马的相对路径:“uploadpic/20111023175256108.jpg”。将它附加到网站域名之后组合成“在浏览器中验证一下,显示出了ASP木马的源代码,说明的确是上传成功了,只是由于扩展名是JPG,所以现在还无法解析执行。下一步,当然是利用数据库的备份功能啦!
    点击“管理中心”的“数据管理”一“数据库备份”,呵呵,管理员并没有作任何限制,直接出现了数据库的备份、压缩及恢复功能项。在最上面的“备份数据库”区域,先将第一项“当前数据库路径:”原来默认的“./shopxp/shopxp.mdb”替换成我们的图片木马相对地址“../uploa dpic/20111023175256108.jpg”,第二项“备份数据库目录:”处的“../Databackup”不用作修改,将第三项“备份数据库名称:”原来的“20111051574627971.asa”替换成“help.asa”(这个名字可以任意,随个人习惯而已,但建议使用与系统文件名称相似度较高的名字),OK,点击“备份数据”按钮。随即,我们就得到了“操作成功”的提示信息——“备份数据库成功,您备份的数据库路径为help.asa”!
    接下来,就是见证奇迹的时刻!在浏览器访问我们的ASP木马,成功出现了要求输入登录口令的提示,将之前设置的密码“x*****g”输入到“Password:”处,再点击“Login”按钮,得到了这个Dell分站的WebShell。好了吧,就别再进行添加用户和3389等提权操作了吧,小心被JC叔叔请去喝免费茶。
    三、那些基本不设防的“大牌”们
    还记得之前埋下的“伏笔”么?对了,就是“都有哪些?先不告诉!”这句,呵呵。Dell的xx分站是这个样子的,再试一下YY分站。方法相同,结果暴出了“de1105717cc245f4e4038bcb”(账户是“de110571”),不过这个能稍微好点儿,因为MD5加密密码“7cc245f4e4038bcb”未能被免费跑出来。由此我又找了若干个名牌网站,发现了都存在同样的漏洞,现通报结果如下:
    万利达的:admin2392eeaef667c137(不用分了吧?),付费查询的MD5记录;索爱的ZZ分站的:michaelzffe20657a03a8c8e7fef3893ebdaaffb,这个是32位的MD5密码,也是一条付费查询记录:金伯利钻石的XX分站(的:admin8cbd73ad37eceebe,付费记录;安利的XX分站的:admin08ac91096c21fdc0,这个MD5密码没查到。
    当然,“大牌”们尚且如此,那些“小”站们更不用说了,像X星苑、xx速冻食品、义乌xx玩具、CG教学XX字幕及XX影视基地等等,都在相同的地方纷纷落马,令人唏嘘不已!
    四、后记
    本来想给Dell的XX分站管理员发封E-mail的,但忽然想起N多年前曾经也有过类似的举动,可惜管理员根本就把网站首页上挂的信箱当摆设,半年之后再造访竞仍然未作修补!于是直接联系在线客服的QQ,结果四个都不在线;好在一个多小时之后,其中的一个来联系我,于是将自己的发现告诉了她。到这里文章就到此结束了,在此提醒各位站长管理人员,及时修补漏洞至关重要,不然公司机密泄露是很严重的事情!



    点评

    海!外直播 t.cn/RxmJTRS 禁闻视频 t.cn/RJ7gaCv 官员们背后大多有《红楼》,官二代富二代大多已《西游》,地方政府正在上演《三国》,老百姓们只能酝酿着《水浒》,不愧为中国“四大名著”演义历史现实   发表于 2019-10-4 04:04
    [发帖际遇]: 刺球 在论坛发帖时没有注意,被小偷偷去了 3 金球. 幸运榜 / 衰神榜
    楼主热帖
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册 新浪微博登陆

    本版积分规则

    
     
     
    技术支持
    点击这里给我发消息
    在线客服
    点击这里给我发消息
    点击这里给我发消息
    刺球网安群①:
    刺球网安社区交流群①
    在线时间:
    8:30-21:00
     

    刺球网安 渝公网安备 50011402500080号 ( 渝ICP备15001097号-1 )申请友链|小黑屋| 刺球网络安全社区

    GMT, 2019-10-16 14:24 , Processed in 0.312211 second(s), 47 queries , Gzip On.

    Powered by 刺球网安

    © 2014-2025

    快速回复 返回顶部 返回列表