日小型公司的大体思路

0×01
。这次只是常规利用搜索引擎社工的思路，不涉及专业黑客所用的社工办法（email/与管理员交互，office系列/flash等一系列0day），因为我木有xss，木有免杀木马，木有高超的编程技术。照猫画虎而已，在实习那段时间跟x哥交流，从中体会后而学到的东西。
拿这种国内中小公司的站练手，按照我的常规思路是这样的：
1.        旁站找程序
2.        搜集管理员信息
3.        c段进行arp

0×02 实例
步骤
目标站为论坛，然后版本为DX2.0
1.旁站
域名反查
www.**y2.com
www.**j.com.cn
www.xia**ou.cn
www.s**o.cc
www.xi**o.cc
www.hn-**hy.net
bbs.**y2.com
blog.**y2.com
0000.blog.**y2.com
……旁站太多，此处略过部分站点
看来都是这家公司自己的服务器。
因为似乎这家公司做了很多的服务，有网站设计，有商城。等业务。。
逐一打开浏览一遍，发现所属它的商城程序刚好用的是shopex 版本为v4.8.5 ，测试t00ls里fjhgx的exp失效。估计是打了补丁。
而其他网站多为dx2.0.或者other程序，我没那挖洞的能力。百度google一遍后，未找到程序爆出来的漏洞，遂放弃。

2.社工
第一件事就是收集公司的管理员名称，到【论坛事务】等版块找出了管理员的id
总结到。
顺便whois出域名信息。
Xxx2@qq.com
xxxxhao2006@qq.com
xxxx565@qq.com
将邮箱也捎带记录了下来

带着这些信息，结合该公司的商城域名，用各个搜索引擎进行搜索。
domain:aimwebsite.Com
intext:aimwebsite.Com
（PS：因为商城赚钱最主要还是靠淘宝客之类的赚取差价，宣传自己网站就必须得发布外链。）
找到一枚php注入点，穿山甲跑出了用户表所有数据，where得到了目标站管理员的密码。。
突破点就在于这两个密码。其余的是123456等弱口令
找出管理员的密码组合规律
继续google，找到了腾讯企业邮箱，将收集到的用户名与以及密码组合尝试进行登录。
登录了管理员邮箱之后，开始搜索敏感信息。在一些网站中常常会将用户密码给反馈回来。
从管理员打开过的邮件逐一打开，黑体是他未查看过的邮件。所以不动它们。
这样收集到的密码和用户名又多了几枚。
在已发送中，找到了一份申请备案的xls文档

下载后，打开一看。原来是天朝的特色，实名备案制，里面包含了公司所有备案成功站点的域名信息，以及管理员的手机号码以及身份证中生日信息，QQ，就这样收集了很多的敏感信息。

虽然用这套敏感信息，admin 的密码杀入了论坛。但是dx2.0俺不会后台拿webshell哇。
继续批量ping得到的域名信息，发现了公司所拥有的并非一台服务器。以上站点，分别分署于三台不同的服务器，这里简称服务器A,服务器B。服务器C
继续猜解密码杀入了服务器B中的某站中，此次总结出了管理员常用密码的规律：Q+姓名缩写
网站域名。

猜解了B站的后台密码，进了一个UCHOME
赶紧翻t00ls里的陆羽的帖子,以及后来关于uchome的讨论帖，顺利的拿到了webshell

这里的提权不略过了，累死我拉！
WS组件被禁用啊，各种组件被禁用啊，组件执行命令无望，ftp用到的iis自带的Microsoft ftp。服务器上还装了瑞星。。。。
Php 找到了非root的mysql 用户，mysql链接了一下，发现该公司其他站点的数据。

看来目标网站曾经在服务器B中驻留过，翻着翻着，刚好发现了一个熟悉的表，这货不是先前尝试过的shopex吗？

找到管理表，拿到cmd5破之。拿到存在目标站的服务器a中商城站，果然可以射入。.
—_— 又百度了很久，shopex后台拿webshell的办法，终于顺利从模版处拿到了webshell。
服务器a 的目录权限配置可比服务器B的权限配置松散了一些，俺顺利的从D盘找到了mysql的目录，下载user.frm，user.MYD，user.MYI
拿到cmd5 破出hash，开始root提权。用了几个t00ls里的根据mysql.func的都木有办法，
俺用了http://www.4ngel.net/phpspy/plugin/Mysql_rok.txt
Lcx之前端口转发总是失败，原因很简单，可以根据已开启服务的而未被占用的端口，才能顺利转发，例如443端口。。。端口转发，这就是我从前纠结了很久的地方。
顺利的返回了shell。。。
抓了管理员hash。这里不截图了，都懂了。。。。
0xx03 总结
1.        小型程序Nday有时还是蛮靠谱的，类似DZ.PW等大型的，来得快去得也快。追最新的0day和新方法就像捉蝴蝶一样，捉不到的永远是最好的，掌握在手里的知识能用得上就ok。
2.        社工是强大的。一定要注意收集信息，尤其是了解这家公司的敏感信息
3.        c段arp是一项大工程，难免也会遇上防火墙，自己麻烦自己
所以本文略过了C段那段绕圈子的过程。
太困，思路全乱了，不知道怎么写好了，对于社工我一般想到哪儿社到哪儿。。
———————-
91ri.org：国内站点在找不到后台的时候，找不到注入的时候，找不到上传的时候，社工往往会比较有效。查查备案号，查查管理员的敏感信息，然后组合这些信息。总结规律。

本文转自t00ls(原文链接找不到了 抱歉,作者或知道者看到请留言)

由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。