獨家披露51CTO被黑過程:數據庫已小範圍流傳

時間  2020-10-01 標籤 獨家 披露 51cto cto 過程 數據庫 小範圍 流傳

原文地址:http://blackbap.org/post/51cto_hacked_database_downloaded
php

獨家披露51CTO被黑過程:數據庫已小範圍流傳

習科的小編幾乎天天都要處理來自世界各地的各類安全報告,在12月3日的時候習科小編收到一封來自***K的Email報告,稱本身拿下了國內著名IT技術站點51CTO,12月5日該***還發來了51CTO用戶數據(800W+)的網盤地址。據小編了解到,12月5日51CTO確實出現過500沒法訪問的狀態,震驚之餘的小編表示看完報告後更加的震驚,究竟是什麼狀況,咱們來了解一下吧。web


64


據瞭解,51CTO站點有多個數據庫,******時間早於12月5日,passport庫中大約有幾十萬的數據,比較重要的是ms-ku-00這個服務器的數據庫,論壇(800W)以及博客(800W)的數據全都在上面。shell

***附上了***過程,而且明確表示51CTO並不是未開發的×××地,在他上去以後發現了多枚陳年webshell,對此小編想說,呵呵。數據庫

不過能拿下51cto.com小編想說其實純屬是運氣好,如下是被小編和諧過的***文檔,咱們先從頭看。


Part1

下午的時候,我接了一個作網站的小項目,客戶是個服裝品牌的老闆,但願能夠仿照某品牌的網站作一個,因而打開那個品牌站點。搞網站搞多了,習慣性在域名後面加了個robots.txt,發現竟然是phpcms的站,心想把站搞下來改改圖片任務不就交差了,因而用了phpcms最新的前臺客戶post直接得到webshell的漏洞拿下了目標站點。
拿下之後我緩緩的抽了口煙,不少網站最新的漏洞應該都沒打全補丁,原本心想寫個利用工具,可是搞站這種事情搞起來就手癢難耐,不搞兩個大站下來不會過癮的,就先搞站再研究工具。瀏覽器

因而Google Hacking,構造關鍵字:inurl:robots.txt phpcms,獲得了1000+個搜索結果,保存列表後,準備挑選目標下手。安全


Part2服務器

翻了半天我發現www.linkphone.cn這個域名看起來比較牛逼,因而拿他開刀。負載均衡

首先在域名後面加上ide

 
 
     
  
  1. /index.php?m=member&c=index&a=register&siteid=1工具
    2.  
 
 
 
 先註冊了用戶(還要驗證郵箱),再訪問:
 
 
 
 
     
  
  1. /index.php?m=member&c=index&a=login
    2.  
 
 
 
 登錄前臺。在前臺找了半天沒有發現上傳頭像的地方,正準備放棄,順手在網址後面加了
 
 
 
 
     
  
  1. /index.php?m=member&c=index&a=account_manage_avatar&t=1
    2.  
 
 
 
 也就是phpcms默認上傳圖片的地方,結果出來了上傳界面,果斷操起burpsuite截包傳馬。
 
 

 
 
Part3
首先將瀏覽器設置成burpsuite的代理:
 
 
65
 
 

 
 
 而後隨便選擇一張圖片上傳,點擊保存。
 
 
 這時burpsuite攔截下數據包,將攔截下來的POST包發到repeater中,而後再桌面上新建一個文件夾命名爲a,再在a中加一個文件夾b,最後在b中放入php腳本。
 
 
 我一開始寫入的是一句話***,而後將整個「a」文件夾壓縮成zip格式,這時候再到burpsuite中,將攔截下來的post包中原來圖片的數據段刪除,右鍵選擇「PASTE FROM FILE」選取剛纔壓縮的「a.zip」。
 
 

 
 66 
 

 
 
 而後點擊go,當response爲200時說明已經上傳成功,這個時候能夠中止burpsuite的攔截,隨後咱們查看當前頭像的地址。
 
 
 
 
     
  
  1. /phpsso_server/uploadfile/avatar/4/10/39468/180*180.jpg
    2.  
 
將地址改成:拿 
 
 
 
     
  
  1. /phpsso_server/uploadfile/avatar/4/10/39468/a/b/1.php
    2.  
 
拿出一句話工具菜刀鏈接,始終提示404錯誤,這不科學! 
 

 
 
Part4
 
 
  我將一句替換成習科5.1大馬放進zip文件之後重複上面步驟發現能夠成功上傳。 
 
 
  不科學的地方明顯不在這裏,最不科學的地方是,我隨便找了個同服站點查詢,竟然發現這個站和51CTO同服。 
 
 
  服務器的權限設置不嚴,我一頓亂翻以後,果真找到了51CTO的目錄,打開之後小夥伴們都驚呆了! PS: @__@小編我也驚呆了! 
 
 
  訪問後發現51CTO的主站和分站應該都在,可是服務器作了負載均衡,因而多傳了幾回就順利拿下51CTO主站了。 
 
 67 
 

 
 
Part5
 
 
  緩緩的吐個菸圈,我發現根目錄下的文件頗有意思,有個2010年建立的logo.php文件,我表示很好奇,由於經過瀏覽器訪問竟然是個百度的logo,而下載回來用文本文檔打開,噗。。。是個一句話小馬,一句話密碼是xy,猜不到是哪一個前輩的,總之就是屌爆了。 
 
 
  首先掃了一下webshell,發現還着很多,統計了一下有這樣幾個: 
 
 
  /logo.php,密碼:xy,***類型: 
 
 
  /download/asus/help.php,密碼加密:未知,***類型:習科大馬 
 
 
  /cert/bazs.cert.php 密碼:ri,***類型:phpspy 
 
 
  密碼過於簡單,也不知道都是哪一個前輩的東西,要是知道了,非去She膜Gong拜他一下不可。 
 
 
  而後就找數據庫配置,發現這個文件的配置比較全。
 
 
 
 
     
  
  1. /data/www/51cto.com/cms/htdocs/wuyou/config_base_test.php
    2.  
 
其中大概有9個數據庫的樣子。看了一下博客和論壇,在裏面也都有配置。   
 

 
 
   其實每一個數據庫帳戶能訪問到的數據庫不止一個,我是用的SQLyog(attach.blackbap.org/down/sjku/SQLyog.rar)配置了HTTP隧道讀取數據庫信息,不知道前輩是用的什麼工具。  
 
 
   我記得前幾年就有人賣51CTO的數據庫,記得當時是1塊錢/1W條,不知道如今什麼價格  
 
 

 
 
Part6
 
 
   最後吐槽一下51CTO,網站真心作的大,可是安全真心作的差,Web服務器和數據庫讓大家配置成這樣也算得上是奇葩一大坨了。  
 
 
   //BlackBap.Org  
 
 

 
 
Part7 --->>>小編補充  
 
 
   以上節選自***K發來的文檔,內容有刪減。  
 
 
   雖然小編已經將51CTO的數據庫密碼加了很是強大的密碼了,並且保證習科不會將數據庫的密碼外傳,而且已經通知了***K,但願他尊重用戶隱私不得外泄51CTO數據庫,可是***K表示有51CTO最新數據庫的並不僅有他一我的,數據庫早就已經在圈內小範圍的流傳開來,習科藉此提醒你們:請注意修改本身的密碼,避免躺槍。  
 
 
   藉此提醒各位廣大的站點:請對本身的產品負責,對用戶的隱私負責。   
  


                




                

            

        

    










    

        联系我们
        沪ICP备13005482号-10