作者:dangdang
出处:t00ls
 
目标站是aaaaaaa.com
仅开放web服务，站点使用的是weblogic+apache axis+apache，axis管理平台应该运行在8080上，可惜被fw过滤了。通过手工分析和wvs最新版本的检查，没发现什么可利用的漏洞。
观察主页发现，主页底部有个联系邮箱地址：webmaster@aaaaaa.com，肯定是管理员的，找算从这个邮箱开始入手。找到mail.aaaaaa.com，猜了些口令没破出来，通过收集信息获知这个邮箱系统是Anymacro,查了下资料貌似也没有现成的漏洞。然后就google一下，居然只找到一个webmaster@aaaaaa.com地址-_-,看来想通过黑盒测出xss会比较麻烦。既然邮件系统暂时没找着现成的入手点，就从aaaaaa.com域名开始入手吧，通过nslookup查出域名注册公司的网址是www.xxxxxx.com.cn，根据经验很多人用的账号就是域名，用aaaaaa/123456登录域名管理平台，提示密码不对，把账号改为随意命名的账号aaaaaa1提示不存在此账号，果然账号名就是aaaaaa，不过折腾半天感觉密码确实难猜到。接下来就看看“找回会员密码”有没有问题，用aaaaaa/webmaster@aaaaaa.com登录“找回会员密码”，提示注册账号不对，尝试了几个常见的形式：
 
aaaaaa@hotmail.com
aaaaaa@163.com
aaaaaa@sina.com
aaaaaa@yahoo.com.cn
aaaaaa@263.com
aaaaaa@sohu.com
aaaaaa@tom.com
…………
 
都提示不对。还是再从域名注册信息调查一下吧，我习惯是用www.checkdomain.com查域名注册信息，查出了信息如下：
Domain Name: aaaaaa.com
ROID: xxxxxxxxxxxxx
Domain Status: ok
Registrant Organization: 北京市xxxxxxx
Registrant Name: 张三
Administrative Email: zhangsan@abc123.com
Sponsoring Registrar: 北京xxxxxxx网络技术有限公司
Name Server:ns3.xxxxxx.com.cn
Registration Date: 2003-12-11 12:05
Expiration Date: 2011-12-11 12:05
 
其中zhangsan@abc123.com就是当时的注册邮箱，而且是03年就注册了！接下来尝试用aaaaaa/zhangsan@abc123.com尝试登录“找回会员密码”页面，提示“密码已发送”。果然。。。现在的问题就是如何搞定这个zhangsan@abc123.com的邮箱了，结果悲剧了，nslookup查询发现这个邮件系统不存在：
 
*** Can’t find server address for ‘abc123.com’:
Server:  ns1.cpip.net.cn
Address:  210.73.64.1
 
DNS request timed out.
timeout was 2 seconds.
*** Request to ns1.cpip.net.cn timed-out
 
ping mail.abc123.com也不存在，又一次杯具-_-
 
接下来通过对比发现，@abc123.com和@aaaaaa.com其中部分名称是相同的，所以我估计abc123.com是旧的邮件服务器，早已下线了，而现在更换为了新邮件服务器mail.aaaaaa.com
事实证实我的初步判断是正确的，我尝试在mail.aaaaaa.com上用zhangsan的账号进行登录，提示密码不对，那就是存在这个账号了！通过简单尝试猜测口令，发现zhangsan的密码就 是zhangsan，邮箱里只有一封未读邮件，查看邮件发信信息是前几个月前，非常好，说明我们的张三很少访问这个邮箱，很符合社工攻击的要求。以现在的条件应该可以轻易的找
 
出个xss去搞定共他邮箱了，不过做这个已经没有意义了，我们的目标是如何得到aaaaaa.com的域名管理密码。既然域名注册账号是使用的旧的邮箱地址，我们就想办法把它改回来，利用以上工作所收集的信息，我们可以做一次社会工程学攻击，可惜最终发现社工难以进行，通过与客服社交发现，如果要通过客服修改密码，必须要传真域名申请者的坐机,手机、工作单位、身份证复印件等等信息，并且还要申请人电话进行确认。我不是米特尼克，社工这条路我是走不下去了。
接下来只能看看域名服务商的网站有没有问题，通过查看发现也没什么漏洞。接下来重点放在手工检查，我申请了一个域名服务商的网站用户，发现网站登陆密码是系统给的随机6位数字，纯数字6位还是应该很好远破的。一般来说，域名网站的注册用户配置好域名以后，就不怎么会登陆了，所以很少有人去修改登陆密码。从上面信息情况来看，张三也很少再登录使用域名管理平台（03年注册，注册邮箱还是旧的），所以有很大可能性他的密码就是系统的随机6位密码。
分析到这步就有了一个明确的测试方向，要入手做字典和工具跑密码的活了。破解一直维持在1500个左右/每分钟.
在破解的过程中得多多检查网站是否正常运行），跑完整个字典的时间大概是1000000/1500/60=11小时，实际上肯定不会跑完字典才破解出来，破解所需时间在我的可接受范围内。最终我只等了1个小时就破出了密码，密码是“177243”。用aaaaaa/177243成功登陆网站，进入后会员有个mydns管理菜单，但是进行域名修改依然需要密码，用177243密码提示不正确，手工试了些常见密码也不对。再找找有没有text xss，我在会员信息修改里发现一处text xss，这里可以插入一段利用跨窗口劫持+函数劫持的xss代码，然后再引诱张三登陆域名管理平台并修改个人信息和域名管理密码，这样的话我们就可以得到这个域名管理密码。
xss攻击的战术上是可行的，但要真正实施起来显然还是太麻烦了，所以我还是依然尝试用暴力破解攻击这个域名管理密码，首先去“会员信息修改”中获取一些他个人的信息做为猜测密码，主要收集的是姓名、电话、手机、邮箱、邮编等信息：
姓名：张三(可变形为zhangsan、zhangs、zhangsan123等)
手机：1581111111
电话：811111111
邮编：520520520
 
当试到邮编的时候，终于看到了可爱的mydns域名管理平台界面^_^，这次测试工作就到这里可以结束了。虽然本次测试没有涉及到多少技术，但是从整个思路上体会更有破案的味道，一层一层的分析和推理，一步步的推敲，整个情况也越来越明了，最终达到了目的。其实这篇文章还是有不少内容没记录，比如我曾尝试smtp协议注入去获取邮件的“找回密码”，还有对于域名服务商邮件服务器的测试、开始针对aaaaaaa.com的许多测试、以及google hacking收集和验证信息等等都省掉了，因为这些内容不是重点所以都去掉了。
 
本文来自Frandy's Blog：http://www.52sky.org 原文地址：http://www.52sky.org/92002.html