后来才发现,盛大业务之广超过了大多数网商。

这么多业务,IP段一定不止这一点。

这次,于是花了半小时,重新更新了一下IP段信息。

但仍然没扫描出太多有利用价值的东西。

这时,某神经君说:最好调整下思路。比如。。。偏僻一点的端口。。?如81 8000 8001 8080 8081?

好吧。。听取了它的建议,添加了这些端口重新进行端口扫描,然后将过滤后的主机导入后台扫描工具扫描敏感信息。。

终于,在125.64.2.61:81中发现了fckeditor,并且可以直接访问。


盛大180天渗透纪实 第三章.FirstBlood! (某站上传导致服务器沦陷)


版本2.6.3,遍历了下全盘,和上次发现的另一个服务器架构差不多一样。

接着进行后台未授权测试,失败。。。

这时,一个细节吸引了注意。

这个站所对应的上传目录貌似与其它的服务器不同。

是不是说明,这站上传文件不是到达up.sdo.com、up2.sdo.com、img.sdg-china.com,而是在本地呢??!

如果是在本地,win2003系统,IIS解析不就能派上用场了么..?

虽然有点难以相信(因为盛大这种大公司暴fck上传漏洞的记录应该为0)

不过还是试了试,上传了一个文件。。。。

what the god! 真是上传到了本地!


盛大180天渗透纪实 第三章.FirstBlood! (某站上传导致服务器沦陷)


一阵兴奋后,连忙畸形文件上传。。。

然后看到了可爱的execute报错提示。。。

盛大180天渗透纪实 第三章.FirstBlood! (某站上传导致服务器沦陷)



连忙菜刀连接之。。。

盛大180天渗透纪实 第三章.FirstBlood! (某站上传导致服务器沦陷)



获取了14个数据库连接信息。

盛大180天渗透纪实 第三章.FirstBlood! (某站上传导致服务器沦陷)

同IP段的其它数据库连接信息。

盛大180天渗透纪实 第三章.FirstBlood! (某站上传导致服务器沦陷)

远程服务器FTP连接信息。


盛大180天渗透纪实 第三章.FirstBlood! (某站上传导致服务器沦陷)

遍历磁盘,证实了先前的猜测(盛大服务器通用FTP上传)


盛大180天渗透纪实 第三章.FirstBlood! (某站上传导致服务器沦陷)


盛大180天渗透纪实 第三章.FirstBlood! (某站上传导致服务器沦陷)


盛大180天渗透纪实 第三章.FirstBlood! (某站上传导致服务器沦陷)


 


不过貌似已经无法连接了。。 看修改日期,是08年的。。。。。。



数据库连接后,未发现管理员有效密码,看登录文字也明白了,盛大的管理后台都是通过统一应用管理平台授权的。


盛大180天渗透纪实 第三章.FirstBlood! (某站上传导致服务器沦陷)


其实盛大的服务器安全还是做得比较好的。

服务器数据库禁止外连,远程桌面也做了安全策略,防止了服务器的进一步提权。

盛大180天渗透纪实 第三章.FirstBlood! (某站上传导致服务器沦陷)



但由于数据库权限是dbown,所以没有进一步的利用。。。

而且这站貌似已经是一个过期的业务后台,所以没有涉及到核心业务,也就对下一步的渗透没起多大的帮助咯。。。

至于Fckeditor嘛。。 应该说百密必有一疏。这么多Fckeditor编辑器,哪里能完全注意到没进行安全修改呢。。?

其实现在回过头看,这个站是盛大唯一一个有Fck上传漏洞的站。。。
 


修复方案:

·删除本例中涉及的所有网站木马,并进行全盘木马检查。

·更改本例中涉及的所有数据库密码。

·Fckeditor升级至最新版。