思路渗透南昌教育局,误伤北师大主站.pdfVIP

作品：思路渗透南昌教育局，误伤北师大主站 作者：A11riseforme 来自：法客论坛 – F4ckTeam 网址：/ 其实我这次依旧是个标题党，虽然说是思路党，但还是用了点工具的。。我来想想。。有cmd， nmap，浏览器，应该就没了。。。 这个站前前后后大概搞了将近两个星期的样子，差不多就是每天放学回来撸一撸，然后慢慢 搞的。。。只可惜最后还是没搞下来，如果再细心点的话应该就差不多了。 不过值得一提的，在搞这个站的过程中，不小心就把北京师范大学主站给OOXX 了（真的是 不小心。。。） 搞这个站完全是没有恶意的。。只是想起来初中的时候每次都是期中期末考试十五分钟之后， 考试答案准时出现在这个网站上，我就很好奇，答案是早就放在这个服务器上还是十五分钟 之后管理员才用U 盘拷上来的。。好奇害死猫，于是我这次就好奇的想进服务器看一看，最 后的结果是虽然没有拿到服务器权限，但是依然获得了浏览服务器全盘及下载的权限，以后 要是答案先发出来了，我把它下载下来，嘿嘿。。。。。。 直接说目标站好了，百度搜南昌教育局，第一个就是他了，/index.htm 再说个题外话，当时我的电脑给放起来了，只好用我爸那台06 年的电脑来搞了，开着酷狗 还有个chrome 就差不多把内存给占完了、、、实在没有工具，临时下了个nmap，这个工具 应该不算差吧。。 还是老规矩，点开网站到处撸一下，把基本的信息收集到。 /fucker Apache/1.3.41 Server at Port 80 1.3.XX 版本，这么老的apache 想不到市级教育局在用。 换个大小写就返回404 ，说明不是windows 的 乱撸了一阵，发现整站都是静态的，没有任何参数点传入，不过有一个小小的问题。。。 /images/ 它允许列目录了。。。 虽然现在没啥用，留着。 在首页找到个搜索，有可能是突破点。搜索fucker ，回车 果然没搜到（这不废话吗）。。重点是看地址。 :8080/search/search?collId=1order=sort=rows=query=fucker 原来8080 端口还开了http 服务。。。这时候nmap 就派上用场了，其实早该把他拿出来了。。 Nmap -v -sT -sV -O -P0 -oX fucker.xml 检测一下目标网站的系统服务和一 些端口banner 的信息 导出到xml 中，其实也可以在cmd 那里看，但是xml 更直观一点。 嗯，开放的端口有21，22，80，8080 操作系统原来是Sun Solaris 10 (SPARC) （看不清的可 以把图片拉大点看） 得知对外开放的服务之后我就到谷歌上去搜了下，看看相应版本的ftp，shh，apache 有没有 什么相应的漏洞了。其实apache 应该是有的，不知道shh 有什么远程溢出没有，能直接拿 到root 就不要去搞网站了。 很可惜的是，我没有找到什么值得利用的漏洞。。。可能是本人有所疏漏吧，但是貌似从服务 器下手ooxx 不太符合我这枚小菜的实力。。。还是老老实实的从web 下手好了。 前面说到服务器还开了一个8080 的端口，运行着http 服务，来仔细端详一下他的页面：左 上角露馅了 我不知道Gpower 是什么东西，但是谷歌肯定知道。 原来是叫通元，有了模版名就好办了，再来一次： /xapache/blog/item/c3c0473aacb3e7f515cecbe7.html 看了下，发现是6.1 的版本下的cms/web/downloadFiles.jsp 文件过滤不严，存在任意文件下 载漏洞。 到目标站试了一下，果然。。。。 :8080/cms/web/downloadFiles.jsp?file=/etc/shadow 还有 :8080/cms/web/downloadFiles.jsp?file=/etc/passwd 就把这两个东西下下来了。。。。 有了这个能干什么？破密码啊！破了root 直接ssh 连上去爽歪歪啊！！！ 但是我没工具啊。。。。。。无奈，干脆把这两个东西给Desperado 帮忙破解了。自己再来看看 还有别的地方的突破口没有。 我们来想想apache 的容器，jsp 的脚本，解释引擎是Tomcat/Coyote 的 ，如果拿到个webshell 应该就是root 权限了，关键是怎么拿呢？后台上传？ 好，那就开始找后台了，80 端口的那个一开始就撸了，没找到，有没有site crawler 之类的 工具，看看80