By:ytmsdy

    入侵 www.gongwuyuan.com.cn (中国公务员考试中心) 全过程。

    入侵这个网站也是一个偶然的机会,我朋友要考公务员想要下载一些资料,但是很多都是会员才能下载到的资料。她找到我让我帮她搞个账号,妹子开口总不能拒绝把。

1.webshell

    打开网站,大致看一眼。网站上前台的页面基本上都已经生成了静态页面(估计是dede或者是phpwind)的吧。在网站上逛了一圈,基本上没有什么动态的地方,这个网站还有一个bbs,仔细看了看,估计也没戏。算了,不去猜了还是想旁注把。看看服务器上有那些网站。

    悲剧了,打开了几个网站看了一眼。基本上都是这个网站的分站。想直接从主站下手,如果想继续这么下去。估计可以洗洗睡了。

    直接看c段吧。

    目标站(www.gongwuyuan.com.cn)的ip是121.101.213.35。仔细看了一下这个服务器IP附近的网站。我不小心瞄到了36这个服务器就差一个IP,而且上面有一个ancient.gongwuyuan.com.cn,和目标站的主域名一致。而且上面还有两个其他的网站。见下图:

    多半是同一个人租的服务器把。在36那台服务器上有两个其他的网站。

    看了一个这两个网站:

        http://www.huatengedu.com.cn/ 也是生成静态页面的(还是洗洗睡把。)
        http://www.huatengedu.net/ (用asp写的,貌似有戏)

    二话不说,抄家伙。扫描,还真有射点。。。。。。

    Dbo 的权限。。果断差异备份数据库拿shell。这部分我就不仔细说明了。无非就是差异备份一句话——》传小马——》大马。

2.提权。

    Shell地址是http://www.huatengedu.net/ewebedit/5.asp

    粗粗的看了一下,权限限制的还算不错的。其他的路径基本上都不能访问,就是几个平常的路径可以访问。Ws组建没有被删除。

    直接执行cmd命令,没有显示,估计是没有权限把。自己弄个cmd上去。

    但是只能执行ipconfig命令,其他net user命令都不能执行。后来试了pr也不行。。。

    看看有那些端口吧。

    43958端口开了,直接用shell自带的SU提权工具,也不信。也试了其他很多的工具,但是也是不行。估计是改过密码了把。

    看看能不能找到sa的密码。在网站的目录里面翻了一圈,只有www.huatengedu.net 这个网站dbo的密码。也没有什么用。其他的盘符也不能访问,看看能不能直接跳转目录吧。

    结合dbo的列目录功能,看看服务器里面有什么可以访问的文件。

    www.huatengedu.com.cn,这个目录不错。看看里面有什么能够访问的。在那个文件夹里面翻到了mysql数据库的账号密码,可惜不是root的。

//数据库设置
$phome_use_db="mysql"; //数据库类型
$phome_use_dbver="5.0"; //数据库版本
$phome_db_server="localhost"; //数据库登陆地址
$phome_db_port=""; //端口,不填为按默认
$phome_db_username="*********"; //数据库用户名
$phome_db_password="*******"; //数据库密码
$phome_db_dbname="*******"; //数据库名
$phome_db_char="gbk"; //设置默认编码
$phome_db_dbchar="gbk"; //数据库默认编码
$dbtbpre="phome_"; //数据表前缀
$ecmslang="gb"; //语言包
貌似没有什么用,在www.gongwuyuan.com.cn这个文件夹里面找到了另外的一个mysql的账号

$CONFIG['dbhost'] = 'localhost'; //数据库主机
$CONFIG['dbuser'] = '*******'; //数据库用户名
$CONFIG['dbpw'] = '******'; //数据库密码
$CONFIG['dbname'] = '******'; //数据库名称

    不是root,没有搞头。

    后来用穿山甲列了很多的目录,只有E盘里面有访问权限。其他的目录都没有直接跳过去。权限限制的还算不错的。。。

    没有办法,看看能不能把把mysql数据库里面的数据找出来把。利用在两个php网站里面找到的数据库连接信息,直接构造了一个php的注入。

    (这种这么明显的php注入,而且还是找数据的体力活,还是直接交给工具吧)

    从列出的数据里面,我找到了两个管理员的账号和密码。。。

admin
password*******(其他部分的密码用*代替了)

gwy
zyr********(其他部分的密码用*代替了)

    用两个账号和密码直接登录一下服务器试试看。。

账号:Administrator
密码:password*******
不对~•
账号:gwy
密码:zyr**********
不对~~

    我也尝试到主站的服务器上试过,看看能不能直接登录。无论是服务器,还是后台,都直接显示错误。蛋疼了。。

    后来纠结了很久。。。差不多有两三天的时间,一直没有什么突破,直到昨天晚上,无聊在webshell里面东点西点。猛的发现。

    系统用户和服务这个页面。。里面的两个账号引起了我的注意。

    一个是gwy,另外一个就是zyr这个账号

    因为上面有一组密码是:

gwy
zyr********

    我当时登录服务器的时候,用的密码是zyr********,不对。但是看到zyr这个账号的时候,我就突然想到zry这个账号的密码是不是zyr********。。。

    后来连接到服务器上面去,账号输入:zry,密码是zyr********。猛的发现进去了。。爽啊!!!

    用pwdump导出系统的SAM数据,丢到ophcrack里面破解。

    直接用管理员登录。。。。也没有发现什么能用的东西。。。

    后来用从36这台服务器上的到的管理员密码登录35这台服务器。也很顺利的登录进去了。。。o()︿︶)o 唉一个密码害死人啊。。。

    8核服务器。。还不错。。清日志,留后面,补BUG,走人。

留言评论(旧系统):

小鱼儿 @ 2011-04-20 10:02:31

您好,这篇文字是我申请T00LS的原创文章。还没有在其他地方发表过。 请您删除 By:*** QQ:****** 邮箱:******** 这几部分信息。我怕被人社工啊。。(谢谢先了)

本站回复:

t00ls 都关啦,申请没用了,我转载出来了。。怕社工的话。。我把你名字抹掉。