收割國(guó)內(nèi)知名某IT培訓(xùn)教育機(jī)構(gòu)

xDay 實(shí)驗(yàn)室

專(zhuān)注Web安全研究 勇于探索未知 打破已知 刷新認(rèn)知

`愿我們?cè)跓熛M散的世界里重逢`

? 昨天發(fā)了我們xDay團(tuán)隊(duì)的第一篇文章對(duì)某灰色產(chǎn)業(yè)cms審計(jì)，各位師傅們都很支持。在此感謝各位師傅們的大力支持，此后都會(huì)發(fā)一些有價(jià)值能學(xué)到東西的文章，和一些0day出來(lái)。致力于反黑灰產(chǎn)業(yè)的研究。

關(guān)于昨天那個(gè)源碼分享問(wèn)題，我們正在籌備群各位大表哥別慌。

0X01 信息搜集

????首先我們確認(rèn)一下我們今天要表演的目標(biāo)站點(diǎn)

1.通過(guò)whois查詢(xún)并未發(fā)現(xiàn)有什么聯(lián)系方式，但可以看到是易名買(mǎi)的。

2.利用搜索引擎找到的接口域名以及頁(yè)面信息。

?http://www.q****u.com/#
?http://www.mob*****ain.org/#
?http://www.co*****.com/#
?http://www.co*****.com/#
?http://www.10*****ne.net/ OA#
?帶有CMS特征的
?http://book.mob*****ain.org/#
?http://video.mob*****ain.org/#
?http://wap.mob*****ain.org/#
?http://www.mob*****ain.org/#
?http://bbs.mob*****ain.org/#
?http://qd.mob*****ain.org/#
?重要的系統(tǒng)平臺(tái)
?http://csadmin.*****ne.net/#
?http://jenkins.*****ne.net/#
?http://1.***.75.138/#
?http://1*****ne.net:8088/#
?http://zs.10*****ne.net:80/#
?http://stu.10*****ne.net/#
?http://admin.10*****ne.net/#
?http://bd.10*****ne.net/#
?http://ssd.10*****ne.net/#
?http://1x.10*****ne.net/#
?http://qh.10*****ne.net/#
?http://qxl.10*****ne.net/#
?http://yq.10*****ne.net/#
?http://data.10*****ne.net/#
?http://bug.10*****ne.net/#
?http://msb.10*****ne.net/#
?http://wx.10*****ne.net:8888/login 寶塔#
?http://study.10*****ne.net/ 寶塔搭建#

因?yàn)橘Y產(chǎn)有點(diǎn)兒多就不一一列出啦，常規(guī)的信息搜集，沒(méi)有什么新姿勢(shì)。

0X02?對(duì)這些目標(biāo)站開(kāi)始滲透~

直接訪(fǎng)問(wèn)http://book.mob*****ain.org/?網(wǎng)站IP 58.x.x.31。

查看返回的cookie中存在onethink_admin_for_xxx確認(rèn)為onethink框架

用onethink框架所存在的漏洞淦之~ 最終Getshell

這就是傳說(shuō)中的站庫(kù)分離嘛??? 哈哈哈哈。遠(yuǎn)程數(shù)據(jù)庫(kù)直接ROOT權(quán)限。

一共19個(gè)數(shù)據(jù)庫(kù)，各種不同的目標(biāo)站的數(shù)據(jù)庫(kù)，非常利于我們?cè)贊B透。

粗略的翻了一番, 幾乎每個(gè)表都記錄了相應(yīng)管理員的賬戶(hù)密碼。

?賬戶(hù)：username 手機(jī)號(hào)：13521105***#
?賬戶(hù)：haisong 手機(jī)號(hào)：15810849***#
?賬戶(hù)：admin11 手機(jī)號(hào)：13521105***#
?賬戶(hù)：songyanli 密文：$BivQZlExUTBTR/aD/3JedvW34MA6N90#
?賬戶(hù)：sunyingchun 密文：$BNqGZQMxO8xLwdBOpLkPLwbz7XqEda0#
?賬戶(hù)：yunying 密文：0e696baec8f783a87e392f3fdec6ba37#
?賬戶(hù)：augus111 密文：ca52b0b996f01e9615b58c855b5d3e2b#
?賬戶(hù)：admin12 密文：634f8039149926f28db9c1f630133a79#
?賬戶(hù)：chun 密文：e10adc3949ba59abbe56e057f20f883e#
?賬戶(hù)：song 密文：e10adc3949ba59abbe56e057f20f883e#

OA賬戶(hù)也是諸多管理后臺(tái)的賬戶(hù)即便沒(méi)密碼也很重要。

?雖然QQ or Tel 開(kāi)發(fā)人員自己寫(xiě)的自定義加密方式進(jìn)行了加密，那我們通過(guò)他們自己寫(xiě)的解密去解密，就可以加上很多“懂技術(shù)”的小姐姐了[社工影響很大]

這些信息暫時(shí)擱邊~ 繼續(xù)滲透其他目標(biāo)站。

http://weixin.*******.net/

偶遇Thinkphp框架，沒(méi)辦法太帥了Getshell了~

翻閱記錄了代碼中的數(shù)據(jù)庫(kù)密碼用于稍后密碼碰撞。

繼續(xù)做記錄，信息搜集ing....

學(xué)生賬戶(hù)泄露，可用于碰撞校企，學(xué)生OA，等等平臺(tái)

部分講師賬戶(hù)泄露，可用于碰撞講師平臺(tái)以及后臺(tái)管理

?開(kāi)始研究學(xué)生平臺(tái)，http://stu.10*****ne.net.svn/wc.db泄露了一個(gè)數(shù)據(jù)庫(kù)，從中我們能獲取到更多的信息，cs.php是一個(gè)webshell查殺工具，如果能下載下來(lái)就好了...審一下。

? 注意，這里泄露了網(wǎng)站目錄?？辞闆r，uploads文件夾內(nèi)有php文件，不排除可以上傳php文件。發(fā)現(xiàn)使用了WebFTP工具，3.5版本。下載去審計(jì)...

最重要的OA服務(wù)器跟學(xué)生平臺(tái)是一個(gè)服務(wù)器，學(xué)生平臺(tái)存放的WebFTP雖然是最新版的但是有一處“后門(mén)”我這里打引號(hào)了，我亂說(shuō)的。然后差不多也可以安排的明明白白的了。wink~

那些你錯(cuò)過(guò)的精彩文章：

[代碼審計(jì)] - 云購(gòu)CMS代碼審計(jì)