P.S:思路很大胆很犀利....
第一步 对目标的信息收集
目标是一个游戏公司,域名www.xxx.com
首先查询了whois信息,服务器IP以及所属地,查看页面上所留下的联系方式,以及可以在google和baidu上获取的信息,做了一个整理,初步得到信息:
域名是在万网注册,注册资料上填写的信息为A城市,而该公司的运营地区是B城市,而WEB服务器所在地也是在B城市。
按照whois信息上的域名以及电话号码在baidu搜索没有得到有价值信息。
与此同时正面检测了该网站,得出结论,该网站正面采用.net+iis7+2008来搭建,前台功能十分简陋,只有注册登录,和修改一些资料,查询一些记 录,登录后无法上传任何东西,也没有注入,找不到后台,扫描目录也没有得到任何可以利用的文件或目录,但是查看发出的新闻,新闻中有图片,图片地址也是同 服的uploadpic目录,可以初步推断后台具有上传文件功能,运气好就能getshell。
之后将游戏下载回来,进入各种不同的区服,用360查看IP,收集了绝大多数服务器IP和端口。
记录之后对比,发现对方的服务器有70%集中在某个C段,之后扫描该C段,旁注列出所有域名。
发现该C段虽然存活服务器很多,但是大多是游戏server,并没有开放web,开放web的只有约10台服务器,总数50余个域名,没有IDC和虚拟主机存在且大部分web都属于该公司。
收集到该公司数个二级域名,其中大部分二级域名访问后得到是跳转到主站,有价值的域名只有。
Update.xxx.com
2010.Xxx.com
其中update域名应该是游戏客户端更新所使用的服务器,IP地址和web服务器不同,打开游戏目录,用字符查找器搜索这个二级域名,在某ini文件中找到了这个地址,确认了的确是更新服务器。
而2010服务器是该游戏的为一个活动而创建的专属活动页面,和web服务器的IP地址相同,该页面几乎是静态的,只有一个留言的地方,留言尝试插入XSS代码被过滤,无法跨站***。而且看年份,已经是过期页面,没有继续深入。
另外web主站有客服页面,客服页面没有交互可以提交信息的地方,只有电话和email。
小菜我只能收集这么多信息了。
第二步 尝试技术性***
这一段主要实施者不是我,不过整个过程也并不重要,因为并没有获得什么突破性的进展,几乎也只是收集信息的过程。
BF首先是对整个C段开放WEB的服务器细致的检测了一遍,成功拿下webshell数个,但是其中能提权进入终端的只有一台,比较幸运的是,该服务器与目标web服务器在同一个交换机环境下,可以进行嗅探,没有限制arp,没防火墙。
本来以为这样就搞定了,但是其实根本没有搞定,否则也不会有这篇文章了。
嗅探过程中,嗅探到大量前台通过web登录会员的明文账号,但是一连3天过去没有嗅探到其他的东西。
查看该主页官方新闻,近期有发过新闻的,后台肯定是被登录过的,但是这里没有嗅探到。
这时BF告诉我,现在一般稍微正规点的站都会防止ARP,而该公司没有做,很大可能是因为该公司的后台登录的字段被修改,而cain这类的工具嗅探的时候 只会针对类似username=xxx&password=xxx这类的字符串其反应,如果是1=x&2=y这种格式,那么必须在 cain中添加监视1和2这两个字段才可以嗅探到数据。)
如果是一个被命名的很奇怪的字段,那么cain就没办法嗅探。
还有一种可能就是后台的管理员是保持cookies之类的东西来登录的,根本不用输密码。
最后一种可能是该web根本没有后台,是通过其他方式来更新新闻的。
小菜我坚信该网站有后台,哪有那么奇怪的人用蹩脚的方式来更新新闻。
而且我也不认为会保存cookies登录,于是我认为是BF所说的特意更改了字段名。
思考过后,除非能得到后台地址,去提交抓包来得到字段名,否则这样靠cain是无法嗅到的。(不知道有没有比cain更先进的嗅探工具可以抓到http表中没有添加规则的数据。
第三步 社会工程学获得关键信息
做到这一步BF已经算是全力帮助我了,接下来的几天一直没有头绪,让BF把嗅探服务器的后门留好,删除了cain,等有头绪了再去嗅探。
某天和朋友出去逛街,吃饭的时候朋友告诉我他最近在玩一个网页游戏,问我有没有兴趣一起玩,我不喜欢网页游戏,但是还是客气的问了问,没想到这一问就给我来了灵感。
据朋友所说该游戏是很近期比较火爆的一款游戏,代理给了多家公司,其中他在玩的这家公司的代理是比较好的,服务器稳定一些。
在这时候我就在想我的目标会不会有其他代理,可不可以从其他代理那里迂回***。
想到这里了后就匆匆吃完了回来打开电脑。
打开目标web前台,一个页面一个页面的点,是为了找到一个比较奇特的文件名,好在google和baidu中搜索这个文件名得到有同样文件名的网站,那 几乎就应该是用同一套程序的了吧,终于找到了一个命名比较特殊的文件,名字很长,41webuserlogin.aspx
在google和baidu搜索这个文件名,结果很失望,没有找到代理。
难道就真的没有代理了吗?
开发一个游戏是不容易的,该公司也不是面向全国,在其他地区招聘代理商应该是必要的措施吧。
也许只是百度没有收录,抱着这个想法,我继续在目标的网站上转,又转回了客服页面。
上面有一个合作意向电话,看着这个电话几秒后,突然来了一个思路,在《欺骗的艺术》中经常看到的,电话社工。
可是我比较内向,能不能像凯文一样面不改色的去社别人呢。
做了很久的思想斗争,练习了很多遍台词,让BF检验后,BF皱了皱眉头,说也许可以吧,你最好小心点,别说漏嘴,对方可能会问你你没有准备好的问题,还有你最好准备点材料。
之后BF去给我买电话卡,又想了一会儿可能遇到的问题和该说的话,从网上找了一个公司简介,PS修改图片,更改内容后做成DOC。
等了半小时BF把电话卡送来。
最后深呼吸,鼓起勇气拨通了这个电话,对话如下:
“喂,你好,是xxx公司的张先生吗?”
“你好,我是,请问有什么事请吗?”
“是这样的,我们是C城市的一家网络公司,想和你们合作。”
“哦,你想怎么合作?”
“我们想代理你的游戏,在贵公司主页上找到了联系方式,但是你们也没有太多说明,请问是否可以以这种方式合作?”(说到这里捏了一把汗)
“可以的,不过我们要先验证贵公司的实力,这样吧,你有QQ吗?我们上QQ谈。”(太好了求之不得,就算他不这么问我,我也打算以这个方式来谈,打电话精神绷得太紧了。
“好的,我的QQ是123456。”(给出得QQ号是事先准备好的小号。)
“我的是654321,那先这样,我们10分钟后谈。”
“好的,那先不打扰你了。”
挂了电话后,开虚拟机,上×××,把小号打开,资料早就改好了。
不过这家伙不守时,大约半小时后才通过我的好友邀请。
其实本来想直接传***文件过去,但是BF阻止了,说现在的人没有那么低能,最好还是慢慢来,先建立信任关系,第一次发东西一定不能发***,以后酌情再考虑发不发***。
之后对方向我发送了一个rar文件,是他们公司的简介以及合作需求说明。
我也把我准备好的公司简介发送过去。
之后我决定对对方做一个试探,探测对方的计算机水平。
因为我是女的,女的一般电脑比较白痴。
于是我就装作很白痴的问对方。
“张先生,你传给我的东西怎么打不开,360提示有病毒。”
“这怎么可能,这个rar中只包含doc和jpg文件,不可能有病毒的,是不是你电脑已经感染了病毒。”
听到这里,庆幸自己听了BF的话,直接发***过去直接就露馅了,对方是比较懂电脑的。
于是我解释可能自己已经中了病毒,让对方也查验一下我发过去的东西会不会感染了病毒。
对方很耐心的教我下载winrar和解压缩,其实我早就会了。
过了5分钟后,对方发来了消息,说已经看过我公司的简介,也让我方好好仔细阅读他们发来的文档,确定合作的话,再约个时间细谈,最好能面谈。
时机到来,我趁机进一步试探。
“好的,我会详细的给老总解说,另外我想知道一下贵公司的代理有没有成功案例,如果有成功案例,我也能更好的解释。”
“有的,我们有2个代理,网址是www.yyy.com和www.zzz.com。”
终于找到了。
后面的对话意义不大,总之我和他约定几天后再细谈
第四步 进一步刺探关键信息
之后BF对这2家代理进行了检测,得到的结果和上面一家几乎一样。
因为没有旁注,正面无望,最终还是只拿到了C断可以嗅探的服务器,嗅不到关键数据。
在这里得到的一个信息就是,这家代理和目标站都没有防止arp,也是2008+iis7的环境。
网络结构几乎一样,应该也是同一个管理员维护的。
因为在对方传给我的合作文档中,也是这么写的,开发商拥有对代理商服务器的管理权,并且会用加密狗把服务器加锁,防止服务端泄露。
虽然确定了代理商和开发商用的程序是一套,依然无法得到有用信息,继续社工开发商很容易露陷,对方提出面谈的话,我可没那个胆。
但是反过来看,代理商虽然没有服务器权限,但是网站后台总不见得是开发商管理的。
因为目测很多游戏活动都是代理商自行开展的,所以我认为代理商是可以管理后台的。
我现在拥有开发商的详细信息,以及明白他们的运作方式,于是又思索了一会儿后,拨通第二个电话,给代理商的客服。(因为网页上只有客服的电话)
“喂,你好,有什么可以帮您?”(对方是一个女孩接的电话,很有利)
“你好,我是B城XX公司的,找你们负责人。”
“哦?这里是客服电话,我是没办法直接帮你联系的啊。”
“有急事,我现在出差当中,没有带通讯录,手机快没电了,有急事联系,告诉我你们负责人的电话,否则出了事情你担待不起。”(吓唬下纯情小女生,我太坏了。)o(>﹏<)
“啊,你稍等,我帮你查查。”(可怜的客服MM果然被吓到了,过了10几秒。)“我们的负责人电话是13XXXXXXX”
“好的,那我先挂了。”
挂了电话后立即拨这个电话。
“喂,你好。”
“喂。我是B城XX公司的,你是YY公司的负责人吧。”
“您好,我是,请问有什么事?”
“根据程序员报告,程序设计出了问题,在超过2011年X月X日后发送的新闻,都会出错变成乱码,我们主站已经修复这个bug,你们那里有发生过这个问题吗?”
“啊?有这种事?我看看。”(对方有点慌,几秒后)“没有啊,都正常的。”
“你登陆后台有没有问题?会不会出现无法登陆。”我继续问。
“没问题。”
“没问题?我登登看。”我沉默几秒后,问他:“不好意思,后台地址我不会拼写了,你能告诉我吗?”
“哦,是有点难记,目录名是adminghjkl
也没有问题了,那看来是我们自己配置不当造成的问题了,你那边并没有这问题。”
“那就好了,吓我一跳。”(对方没有起疑,趁早挂电话吧。)
“那我先不打扰了,有什么问题联系我们吧。”
挂了电话,兴奋了,终于得到了后台,尝试后台注入无果。
登陆,抓包,发现字段名果然被修改了,把修改后的字段加到cain的http规则中。
继续嗅探。
第五步 突破进入后台
更改规则后,两天后获得了后台管理员用户,进到后台,果然可以上传。
但是过滤应该是按照白名单的方式来的,而且会时间+随机数命名,无法突破。
但是看到有一个上传rar的地方,而且会自动解压这个rar,形成活动页面。
于是保存对方的页面为html,再加入一个aspxshell,打包成rar上传,让后台自动解压缩,得到了aspxshell。
拿到shell后本来以为已经结束,但是对方64位的2008,尝试iis7溢出失败,又搜索到一个wsf文件提权失败,还一个内核溢出均告失败。
该服务器几乎是一个裸机,除了IIS之外什么都没,没有第三方软件。FTP、数据库、杀毒、输入法,什么都没有,提权几乎无望,只有等大杀器了?
翻来翻去都没有找到数据库连接信息,webconfig中没有,bin目录下有很多DLL。
推测是被加密到了DLL中,数据库也是其他服务器。