收割国内知名某IT培训教育机构

Gcow安全团队

共 2567字,需浏览 6分钟

 ·

2020-09-23 21:20


xDay 实验室

专注Web安全研究 勇于探索未知 打破已知 刷新认知

关注

`愿我们在烟消尽散的世界里重逢`

  昨天发了我们xDay团队的第一篇文章对某灰色产业cms审计,各位师傅们都很支持。在此感谢各位师傅们的大力支持,此后都会发一些有价值能学到东西的文章,和一些0day出来。致力于反黑灰产业的研究。


关于昨天那个源码分享问题,我们正在筹备群各位大表哥别慌。



0X01 信息搜集

    首先我们确认一下我们今天要表演的目标站点

1.通过whois查询并未发现有什么联系方式,但可以看到是易名买的。


2.利用搜索引擎找到的接口域名以及页面信息。

 http://www.q****u.com/#
 http://www.mob*****ain.org/#
 http://www.co*****.com/#
 http://www.co*****.com/#
 http://www.10*****ne.net/ OA#
 带有CMS特征的
 http://book.mob*****ain.org/#
 http://video.mob*****ain.org/#
 http://wap.mob*****ain.org/#
 http://www.mob*****ain.org/#
 http://bbs.mob*****ain.org/#
 http://qd.mob*****ain.org/#
 重要的系统平台
 http://csadmin.*****ne.net/#
 http://jenkins.*****ne.net/#
 http://1.***.75.138/#
 http://1*****ne.net:8088/#
 http://zs.10*****ne.net:80/#
 http://stu.10*****ne.net/#
 http://admin.10*****ne.net/#
 http://bd.10*****ne.net/#
 http://ssd.10*****ne.net/#
 http://1x.10*****ne.net/#
 http://qh.10*****ne.net/#
 http://qxl.10*****ne.net/#
 http://yq.10*****ne.net/#
 http://data.10*****ne.net/#
 http://bug.10*****ne.net/#
 http://msb.10*****ne.net/#
 http://wx.10*****ne.net:8888/login 宝塔#
 http://study.10*****ne.net/ 宝塔搭建#

因为资产有点儿多就不一一列出啦,常规的信息搜集,没有什么新姿势。


0X02 对这些目标站开始渗透~


直接访问http://book.mob*****ain.org/ 网站IP 58.x.x.31。


查看返回的cookie中存在onethink_admin_for_xxx确认为onethink框架


用onethink框架存在的漏洞淦之~ 最终Getshell


这就是传说中的站库分离嘛??? 哈哈哈哈。远程数据库直接ROOT权限。



一共19个数据库,各种不同的目标站的数据库,非常利于我们再渗透。


粗略的翻了一番, 几乎每个表都记录了相应管理员的账户密码。

 账户:username 手机号:13521105***#
 账户:haisong 手机号:15810849***#
 账户:admin11 手机号:13521105***#
 账户:songyanli 密文:$BivQZlExUTBTR/aD/3JedvW34MA6N90#
 账户:sunyingchun 密文:$BNqGZQMxO8xLwdBOpLkPLwbz7XqEda0#
 账户:yunying 密文:0e696baec8f783a87e392f3fdec6ba37#
 账户:augus111 密文:ca52b0b996f01e9615b58c855b5d3e2b#
 账户:admin12 密文:634f8039149926f28db9c1f630133a79#
 账户:chun 密文:e10adc3949ba59abbe56e057f20f883e#
 账户:song 密文:e10adc3949ba59abbe56e057f20f883e#


OA账户也是诸多管理后台的账户即便没密码也很重要。


 虽然QQ or Tel 开发人员自己写的自定义加密方式进行了加密,那我们通过他们自己写的解密去解密,就可以加上很多“懂技术”的小姐姐了[社工影响很大]

这些信息暂时搁边~ 继续渗透其他目标站。



http://weixin.*******.net/

偶遇Thinkphp框架,没办法太帅了Getshell了~

翻阅记录了代码中的数据库密码用于稍后密码碰撞。


继续做记录,信息搜集ing....

学生账户泄露,可用于碰撞校企,学生OA,等等平台

部分讲师账户泄露,可用于碰撞讲师平台以及后台管理


 开始研究学生平台,http://stu.10*****ne.net.svn/wc.db泄露了一个数据库,从中我们能获取到更多的信息,cs.php是一个webshell查杀工具,如果能下载下来就好了...审一下。
  注意,这里泄露了网站目录。看情况,uploads文件夹内有php文件,不排除可以上传php文件。发现使用了WebFTP工具,3.5版本。下载去审计...


最重要的OA服务器跟学生平台是一个服务器,学生平台存放的WebFTP虽然是最新版的但是有一处“后门”我这里打引号了,我乱说的。然后差不多也可以安排的明明白白的了。wink~



这里我们只做思路的分享,可以看出信息收集的重要性(目前漏洞已经提交相关src平台)


那些你错过的精彩文章:

[代码审计] - 云购CMS代码审计


扫描这个二维码
你将有机会见识到
最新的花式吊打表演艺术
以及一皮卡车沙雕皮大佬
↓↓↓↓↓↓↓↓↓↓

浏览 40
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报