来源:自学PHP网 时间:2015-04-17 10:16 作者: 阅读:次
[导读] 一、被盗号找上门今天一打开QQ邮箱,看到个群邮件这货以发聚会照片为名义给出了一个网址http: 202 194 131 20 xcb xcb link php?id=73url=http: yyhhj emy in cc ?933046我估计着因为这段网址前半部分h...
一、被盗号找上门
今天一打开QQ邮箱,看到个群邮件
这货以发聚会照片为名义给出了一个网址
http://202.194.131.20/xcb/xcb/link.php?id=73&url=http://yyhhj.emy.in/cc/?933046
我估计着因为这段网址前半部分http://202.194.131.20/xcb/xcb/link.php?id=73是一个正规网站的地址,只是通过调用link.php的url参数把页面转到http://yyhhj.emy.in/cc/?933046这个盗号者做的网站,所以QQ邮箱并没有把它当作垃圾邮件处理,被它钻了空子。
访问后跳转http://yyhhj.emy.in/cc/?933046
接着跳转到http://y6222.ao.tc/933046
出现一个类似QQ空间的网页,仔细的人会发现它和真正的空间并不一样
真正的空间是这样的网址http://user.qzone.qq.com/xxxxxxxxx/infocenter
只能说,这个盗号网站还真是做的挺像的,不知道的人就直接输入QQ号QQ密码,于是就被盗号了。。。
百度了下这个网址,这货发的地方还是挺多的,理由也挺多,就差求被爆了,哈哈
二、初探 看一下这个网址http://y6222.ao.tc/933046,是一个免费域名,
直接搞这个站搞不了,还一扫就垮了,就想到拿下它的域名提供商。
直接访问http://www.ao.tc/试试,发现不是域名提供商
但是,拉到最下面的时候发现一个好东西
点开一看,果然是域名提供商
看来http://yyhhj.emy.in/cc/?933046和http://y6222.ao.tc/933046这两个域名都是在这里注册的。
三、拿shell
看了一下这个网站http://www.yakuy.com/
随手加一个admin,后台出来了,http://www.yakuy.com/admin/index.php/user/?action=regin
尝试了下弱口令,失败了。这种站基本上是静态的,又没有注入,看来直接搞这个域名提供商的站比较困难。那么就尝试旁注吧
这里面,前两个都是域名提供商,第三个网站已经没了,唯一的希望就是第四个了
御剑扫一下,发现后台和两个上传页
翻着翻着我发现了cfeditor/ckfinder这个编辑器组合
运气不错,因为cfeditor/ckfinder这个编辑器组合是不用任何验证都可以上传文件的,而且功能丰富,可以上传文件,可以新建文件夹,可以重命名文件,碰到了又没限制会是很爽的,哈哈。
访问http://missmuch.com/admin/editor/ckfinder/ckfinder.html
(这里貌似IE打不开,用Chrome或FireFox可以打开)
刚才查旁注的时候得知服务器用的是iis6.0,所以解析漏洞神马的都出来吧
直接上传脚本格式的马肯定是全军覆没了的,上传1.php;.jpg又被改名了
上传1.php;jpg也不行,重命名改回来也不行
只有建文件夹了,先建了一个sky.php的文件夹,并上传了一个jpg后缀的马
结果访问的时候却悲剧了,显示没有这个文件
不甘心下,猜想服务器应该会支持asp,重新建了一个sky.asp的文件夹,传了一个马成功解析,用菜刀连接,拿到此站webshell。
权限一般,可以读D:\www\以下目录,但是只有本站目录可写。
四、直奔目标 重新整理一下思路,因为我的目标站是http://y6222.ao.tc/933046这个免费域名,那么我要把这个网站改掉有三条路。
第一,这个免费域名和域名提供商在同一服务器下,通过提权拿下
第二,拿到管理员密码,猜测就有权限改掉这个免费域名
第三,拿到这个注册免费域名的用户名密码,登录他的用户后台,改掉网站
Ping了一下y6222.ao.tc这个域名,和域名提供商不在同一个服务器下,那么第一条路就断了。分析下后面两条路。
这两条路都需要获得用户名密码,而这个站是MySQL的数据库,所以就通过执行MySQL语句来查询、修改。
首先找到数据库连接文件,人品不错,竟然直接就是root权限
好吧,首先找域名提供商的管理员密码查库,目标数据库是yakuy
查表,管理员用户名密码应该在sf_admin这个表中,而注册人用户名密码应该在sf_user这个表中
查列查内容,用户名密码出来了这个密码的加密方式是md5($apstr.md5($pass)),就是先把密码通过md5加密,再把apstr的值放在加密后的md5前面,整体再进行md5加密。(md5均为32位。多亏了三石老大那篇文章我才知道是这样加密的。= =)
比如我的密码是sky,通过md5加密后是900bc885d7553375aec470198a9514f3,apstr我取它原来的值uywIkQg72,那么整体就是uywIkQg72900bc885d7553375aec470198a9514f3,再取md5,就是fc85c28cef35b622655e24edd2558ce5
直接对管理员的用户密码解密有点麻烦,干脆直接加一个管理员用户,用户名密码都是sky
登录成功
在后台翻了一下,发现只能删除域名,不能修改域名指向,而我又想挂个菊花聊天室提醒下点进来的人,所以我干脆也直接进盗号者的账户算了,不过这个就不能像添加管理员那样添加了,就直接修改他的密码吧,也省的他继续申请域名来祸害他人。
操作基本上和前面一样,用户名是邮箱,密码是一样的加密方式md5($randstr.md5($pass))
修改他的密码成功
成功登录
到了这步结果悲催了,捣鼓了半天都没法把域名转发到一个菊花聊天室上,郁闷啊,求指点啊~~~
继续在后台里翻,结果发现这货有一堆帐号,还在不断的注册帐号、注册域名 只能说这货精神可嘉,行为可耻了。。。= =
删完他的域名,把他要解析的ip丢入黑名单,拍拍屁股走人
五、后续
费了好大劲把这两个免费域名给废掉了,但是盗号的风波永远都结束不了,因为这货又开始找其他免费域名提供商了
这货用来发盗号链接的QQ:708933046
看来以后有的玩儿了,盯住http://174.128.253.61/cc/?933046和http://174.128.253.62/933046/这两个地址不放了,没事就搞它盗号的域名,能搞几个算几个,哈哈。
Over
|
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com