No.2
前面拿到权限的机子，我让大少帮我开了终端。其中遇到些纳闷的鸟事就略过不谈了。常规思路，在一阵基本的检查后，没有获取有价值的东西。偶打算开始嗅探。

偶给肉鸡做了个即时的ftp，随用随关，方便传东西。用xlight做的。
把cain打了个包上去（这东西的好处是不用安装，驱动安装也不用重启就可以使用），看了下肉鸡的program files文件夹已经有了winpcap了，可能是大少安装的吧。偶乐得偷闲，打开cain。晕死，连网卡都找不到。郁闷了我一阵。后来一想，应该是驱动问题，重新安装下cain安装包自带的驱动就可以使用了。

略做配置。scan了下mac，host列表有138，139，151，152，155，156，157，158，没有我的目标。
但是我在139这个ip访问的时候，出现的是一个情色视频站点，jsp的web脚本，结构跟142很相似，从一些特征上分析，跟我的目标也很有共同点。于是决定就对它进行arp欺骗。
选择arp，添加对139--158的通讯方向进行欺骗。158是网关ip。一会就看到password里出现http登录口令了。看了下口令出现的速度，不快。于是断开肉鸡终端，看电影，明天上去检查。
----------------------------------------------------------------------------------------------------------
第二天，连上去得到很多口令。全是http的。略作分析整理：
得出一些经营模式：他们的管理是挺成熟的。网站分公司管理入口，经销商入口，视频主持人入口和客户入口。公司管理负责对客户数据进行维护，各经销商独立的，其下瞎有视频主持（小姐）。
供应商帐号密码特征：
606a/6abc1234
605a/5abc1234
其所辖小姐的帐号密码特征：
606a01/123456
606a02/123456
......
605a03/123456
.....
注意到没？帐号应该是系统按一定规律分配的，密码默认也是有规律的。小姐密码默认是123456，她们几乎都没改。而经销商和他们所辖小姐之间的帐号有存在联系。hoho
客户注册是需要经过手机这道关卡的，所以俺不能注册。不过嗅探也得到很多客户口令。公司管理人员的信息还未嗅探到。
-----------------------------------------------------------------------------------------------------------
首先用小姐的帐号登录进去。为啥先挑她们？因为网站上都有小姐的照片，有照片就该有上传，此web程序跟我们前面通过上传拿下的已经可以认定是同一款，那么也应该有绕过验证的漏洞。so...
登录后发现，除了上班视频外就是业绩查询，后台很简单。

继续用经销商帐号登录。发现上传。原来小姐的管理都是由经销商来完成的，资料都是他们输入的。（模式蛮成熟的）上传是肯定有漏洞。老套路抓包，NC提交。拿到shell。和上台机子一样，远程管理是用radmin的。轻车熟路，本地安装一个radmin，端口设置跟它一样8899，设置密码，导出注册表，上传到d:\my.reg.目标主机 导出注册表regedit -e d:\bal.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin  备份下。 然后net stop "Remote Administrator Service" 导入咱的regedit /s d:\my.reg继续 net start “Remote Administrator Service” ok，radmin连上去。加个用户，hoho为所欲为了。用完后还原备份，删除闪人。

问题是，我通过图形界面开启终端，默认是3389端口，却发现被硬防拦了。看来只能端口转发了。radmin毕竟用来太风险。又多了台肉鸡。

No3.

拿到权限后，我启用肉鸡的远程桌面，并修改端口，肉鸡是使用自带的防火墙，我设置其允许出站，即可远程登陆了。配置上与前一台没什么差别。由于目标是视讯网站的数据库，所以我翻看tomcat的conf目录，查找数据库连接信息。郁闷的是并没有找到口令。（jsp我也没咋接触过）后来才知道管理员用的是空口令，汗倒。人家禁止外部连接，所以不设口令。上传了个 mysql-front (mysql数据库图形编辑工具)，翻查数据库表。把用户表和管理表导出，并下载回本地。这时我发现有个表allowedip很奇怪，分析一下，才知道原来管理员帐号登陆后台是有IP限制的，未经允许的ip不能登陆，够严格啊。
更BT的是，设计者在网页的很多页面加了如下代码：

以下是引用片段： <script LANGUAGE='javascript'> var wwwname=navigator.userLanguage; if(wwwname =='zh-cn') window.location.href='<%=(String)application.getAttribute("url")%>401.htm';

啥意思？屏蔽掉简体中文浏览器访问了。我是用firefox访问所以没有问题的。NND，把他去掉。
经一番折腾已经拿到所有权限。所以日志也就没有继续的必要了。完

上一页  [1] [2]