作者:dangdang
出处:t00ls
 
目标站是aaaaaaa.com
仅开放web服务,站点使用的是weblogic+apache axis+apache,axis管理平台应该运行在8080上,可惜被fw过滤了。通过手工分析和wvs最新版本的检查,没发现什么可利用的漏洞。
观察主页发现,主页底部有个联系邮箱地址:webmaster@aaaaaa.com,肯定是管理员的,找算从这个邮箱开始入手。找到mail.aaaaaa.com,猜了些口令没破出来,通过收集信息获知这个邮箱系统是Anymacro,查了下资料貌似也没有现成的漏洞。然后就google一下,居然只找到一个webmaster@aaaaaa.com地址-_-,看来想通过黑盒测出xss会比较麻烦。既然邮件系统暂时没找着现成的入手点,就从aaaaaa.com域名开始入手吧,通过nslookup查出域名注册公司的网址是,根据经验很多人用的账号就是域名,用aaaaaa/123456登录域名管理平台,提示密码不对,把账号改为随意命名的账号aaaaaa1提示不存在此账号,果然账号名就是aaaaaa,不过折腾半天感觉密码确实难猜到。接下来就看看“找回会员密码”有没有问题,用aaaaaa/webmaster@aaaaaa.com登录“找回会员密码”,提示注册账号不对,尝试了几个常见的形式:
 
aaaaaa@hotmail.com
aaaaaa@163.com
aaaaaa@sina.com
aaaaaa@yahoo.com.cn
aaaaaa@263.com
aaaaaa@sohu.com
aaaaaa@tom.com
…………
 
都提示不对。还是再从域名注册信息调查一下吧,我习惯是用查域名注册信息,查出了信息如下:
Domain Name: aaaaaa.com
ROID: xxxxxxxxxxxxx
Domain Status: ok
Registrant Organization: 北京市xxxxxxx
Registrant Name: 张三
Administrative Email: zhangsan@abc123.com
Sponsoring Registrar: 北京xxxxxxx网络技术有限公司
Name Server:ns3.xxxxxx.com.cn
Registration Date: 2003-12-11 12:05
Expiration Date: 2011-12-11 12:05
 
其中zhangsan@abc123.com就是当时的注册邮箱,而且是03年就注册了!接下来尝试用aaaaaa/zhangsan@abc123.com尝试登录“找回会员密码”页面,提示“密码已发送”。果然。。。现在的问题就是如何搞定这个zhangsan@abc123.com的邮箱了,结果悲剧了,nslookup查询发现这个邮件系统不存在:
 
*** Can’t find server address for ‘abc123.com’:
Server:  ns1.cpip.net.cn
Address:  210.73.64.1
 
DNS request timed out.
timeout was 2 seconds.
*** Request to ns1.cpip.net.cn timed-out
 
ping mail.abc123.com也不存在,又一次杯具-_-
 
接下来通过对比发现,@abc123.com和@aaaaaa.com其中部分名称是相同的,所以我估计abc123.com是旧的邮件服务器,早已下线了,而现在更换为了新邮件服务器mail.aaaaaa.com
事实证实我的初步判断是正确的,我尝试在mail.aaaaaa.com上用zhangsan的账号进行登录,提示密码不对,那就是存在这个账号了!通过简单尝试猜测口令,发现zhangsan的密码就 是zhangsan,邮箱里只有一封未读邮件,查看邮件发信信息是前几个月前,非常好,说明我们的张三很少访问这个邮箱,很符合社工攻击的要求。以现在的条件应该可以轻易的找
 
出个xss去搞定共他邮箱了,不过做这个已经没有意义了,我们的目标是如何得到aaaaaa.com的域名管理密码。既然域名注册账号是使用的旧的邮箱地址,我们就想办法把它改回来,利用以上工作所收集的信息,我们可以做一次社会工程学攻击,可惜最终发现社工难以进行,通过与客服社交发现,如果要通过客服修改密码,必须要传真域名申请者的坐机,手机、工作单位、身份证复印件等等信息,并且还要申请人电话进行确认。我不是米特尼克,社工这条路我是走不下去了。
接下来只能看看域名服务商的网站有没有问题,通过查看发现也没什么漏洞。接下来重点放在手工检查,我申请了一个域名服务商的网站用户,发现网站登陆密码是系统给的随机6位数字,纯数字6位还是应该很好远破的。一般来说,域名网站的注册用户配置好域名以后,就不怎么会登陆了,所以很少有人去修改登陆密码。从上面信息情况来看,张三也很少再登录使用域名管理平台(03年注册,注册邮箱还是旧的),所以有很大可能性他的密码就是系统的随机6位密码。
分析到这步就有了一个明确的测试方向,要入手做字典和工具跑密码的活了。破解一直维持在1500个左右/每分钟.
在破解的过程中得多多检查网站是否正常运行),跑完整个字典的时间大概是1000000/1500/60=11小时,实际上肯定不会跑完字典才破解出来,破解所需时间在我的可接受范围内。最终我只等了1个小时就破出了密码,密码是“177243”。用aaaaaa/177243成功登陆网站,进入后会员有个mydns管理菜单,但是进行域名修改依然需要密码,用177243密码提示不正确,手工试了些常见密码也不对。再找找有没有text xss,我在会员信息修改里发现一处text xss,这里可以插入一段利用跨窗口劫持+函数劫持的xss代码,然后再引诱张三登陆域名管理平台并修改个人信息和域名管理密码,这样的话我们就可以得到这个域名管理密码。
xss攻击的战术上是可行的,但要真正实施起来显然还是太麻烦了,所以我还是依然尝试用暴力破解攻击这个域名管理密码,首先去“会员信息修改”中获取一些他个人的信息做为猜测密码,主要收集的是姓名、电话、手机、邮箱、邮编等信息:
姓名:张三(可变形为zhangsan、zhangs、zhangsan123等)
手机:1581111111
电话:811111111
邮编:520520520
 
当试到邮编的时候,终于看到了可爱的mydns域名管理平台界面^_^,这次测试工作就到这里可以结束了。虽然本次测试没有涉及到多少技术,但是从整个思路上体会更有破案的味道,一层一层的分析和推理,一步步的推敲,整个情况也越来越明了,最终达到了目的。其实这篇文章还是有不少内容没记录,比如我曾尝试smtp协议注入去获取邮件的“找回密码”,还有对于域名服务商邮件服务器的测试、开始针对aaaaaaa.com的许多测试、以及google hacking收集和验证信息等等都省掉了,因为这些内容不是重点所以都去掉了。
 
本文来自Frandy's Blog: 原文地址: