渗透菲律宾星报官网

0×1

2012-4.28对菲律宾星报主站进行了一次渗透。在渗透进主站服务器后，由于目标服务器遭遇到国内肥猪流黑客的DDOS攻击，导致服务器无法连接，也就没有成功格掉主站硬盘和挂首页了。

以下是渗透过程，没什么亮点。全凭经验~ 大牛勿喷

0×2

首先扫描主站WEB的目录。 得到fck编辑器。但目录被删。无法利用。 web是 iis6+aspx。 扫了一遍后没有发现注入点, 于是打算迂回渗透进去。 （人家驴子也不是太白痴）

开始扫描C段，整理子站域名和IP。 得到 .171 .172 。 173 174 175 则是主站IP。 使用域名组合，google寻找注入点。 5分钟后， 一个 asp？=1-0 -1 返回错误。让我断定让是注入点

于是丢大罗卜havij跑了下. 确实是注入点。还是ROOT ，但是利用起来太麻烦了.

0×3

拿到注入点后，首先看到GPC没开， 通过构造语句报错，得到了网站路径。 然后尝试写入木马到网站目录，以为这样就秒下了，可是并不成功。 （后来才知道，根本没权限写） 之后就放弃写入文件，因为网站有phpmyadmin

所以想读取配置文件，然后用phpmyadmin拿shell 。 但是也不成功。打开显示403 应该限制IP了= =！ 这下悲催了。 让机友rices去读源码，看能不能用源码漏洞拿shell。 我自己择去看数据库了..

0×4

群 里的大C突然跟我说， 网站的路径是C:xampphocst 可能是用的xampp套件。如果是的话，就会有FileZillaFTP软件。 FTP软件下会保存MD5的 FTP密码。 于是就去读C:xamppFileZillaFTPFileZilla Server.xml 。

密 码出来了，跑去连接，结果苦逼的密码错误.. 用root密码试了下，也不行。估计ftp是废弃的了…一下子又迷茫了。 ….注入点仍这里了，跑去看172服务器的WEB。 发现都是一套程序。应该系统是一样的配置。于是一样的读ftp。结果这台服务器FTP能登录。 果断穿上phpspy。 执行cmd whoami ， 居然返回system….. 牛逼大了。 果断让rices那个围观群众去开3389，而我则去分析172的服务器。 突然看着IP ,眼前一亮。171的ftp帐号是， 域名加171

那172的会不会是域名加172了。 果然是的…，于是两台服务器沦陷。

0×5

进入星报的分站服务器后，就开始内网渗透。 内网也无非就这几个方法.. 抓hash密码没抓出来，想用那个windows注入出密码。但没找到工具.. 本机两台服务器开了vnc， 果断读取注册表，取得vnc的加密密码，拿去解密后。成功连接目标主站服务器…

91ri.org点评：在很多的内网环境情况下 密码或者账号都有可能涉及到与ip等等相关的， 文章的细心耐心是亮点。还有 小编看出 貌似这个是组团黑站啊 呵呵。

本文作者：yingzi 转自凯里博客由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。