收割国内知名某IT培训教育机构-轻识

xDay 实验室

专注Web安全研究勇于探索未知打破已知刷新认知

`愿我们在烟消尽散的世界里重逢`

昨天发了我们xDay团队的第一篇文章对某灰色产业cms审计，各位师傅们都很支持。在此感谢各位师傅们的大力支持，此后都会发一些有价值能学到东西的文章，和一些0day出来。致力于反黑灰产业的研究。

关于昨天那个源码分享问题，我们正在筹备群各位大表哥别慌。

0X01 信息搜集

首先我们确认一下我们今天要表演的目标站点

1.通过whois查询并未发现有什么联系方式，但可以看到是易名买的。

2.利用搜索引擎找到的接口域名以及页面信息。

 http://www.q****u.com/#
 http://www.mob*****ain.org/#
 http://www.co*****.com/#
 http://www.co*****.com/#
 http://www.10*****ne.net/ OA#
 带有CMS特征的
 http://book.mob*****ain.org/#
 http://video.mob*****ain.org/#
 http://wap.mob*****ain.org/#
 http://www.mob*****ain.org/#
 http://bbs.mob*****ain.org/#
 http://qd.mob*****ain.org/#
 重要的系统平台
 http://csadmin.*****ne.net/#
 http://jenkins.*****ne.net/#
 http://1.***.75.138/#
 http://1*****ne.net:8088/#
 http://zs.10*****ne.net:80/#
 http://stu.10*****ne.net/#
 http://admin.10*****ne.net/#
 http://bd.10*****ne.net/#
 http://ssd.10*****ne.net/#
 http://1x.10*****ne.net/#
 http://qh.10*****ne.net/#
 http://qxl.10*****ne.net/#
 http://yq.10*****ne.net/#
 http://data.10*****ne.net/#
 http://bug.10*****ne.net/#
 http://msb.10*****ne.net/#
 http://wx.10*****ne.net:8888/login 宝塔#
 http://study.10*****ne.net/ 宝塔搭建#

因为资产有点儿多就不一一列出啦，常规的信息搜集，没有什么新姿势。

0X02 对这些目标站开始渗透~

直接访问http://book.mob*****ain.org/ 网站IP 58.x.x.31。

查看返回的cookie中存在onethink_admin_for_xxx确认为onethink框架

用onethink框架所存在的漏洞淦之~ 最终Getshell

这就是传说中的站库分离嘛??? 哈哈哈哈。远程数据库直接ROOT权限。

一共19个数据库，各种不同的目标站的数据库，非常利于我们再渗透。

粗略的翻了一番, 几乎每个表都记录了相应管理员的账户密码。

 账户：username 手机号：13521105***#
 账户：haisong 手机号：15810849***#
 账户：admin11 手机号：13521105***#
 账户：songyanli 密文：$BivQZlExUTBTR/aD/3JedvW34MA6N90#
 账户：sunyingchun 密文：$BNqGZQMxO8xLwdBOpLkPLwbz7XqEda0#
 账户：yunying 密文：0e696baec8f783a87e392f3fdec6ba37#
 账户：augus111 密文：ca52b0b996f01e9615b58c855b5d3e2b#
 账户：admin12 密文：634f8039149926f28db9c1f630133a79#
 账户：chun 密文：e10adc3949ba59abbe56e057f20f883e#
 账户：song 密文：e10adc3949ba59abbe56e057f20f883e#