文章转载:逝情博客
看到这篇文章,觉得很不错,就转过来了
今天进坛子看下文章,表示看到篇很经典的文章,便转到博客来了,和大家分享下,表示很佩服这位骚年啊,我擦 ,各种佩服,耐心,细心,思路灵活,很不错。本文章的作者是:9999大牛,表示着是他坛子的ID名称。
涛涛电脑知识网
0×01.起因—为了部落
0×02.踩点—硬柿子
0×03.主站碰壁—鼻青脸肿
0×04.分站进行时—未战即降
0×05.僵局中闪现突破口—完成任务
0×06.扩大战果遇奇葩—步步为营
0×07.总结—耐心,恒心,细心
0×01. 起因..
一个朋友玩这个平台的某游戏, 跟一后生骂起来了, 找我帮忙搞出这人资料..
0×02. 踩点
先随便看了看, 小收集一下资料.
主站连接全为phtml文件, 同IP有N个平台, 全是这家公司开的, 还有个开服表的站, 推送新开服内容全是其旗下平台的.. 恩.. 这个策略不错..
有个论坛, 每个平台指向的论坛地址不同, logo不同, 但是整合了ucenter的, 所以数据是相同的, dz x1.5架设, 同段不同服, [IP尾数差两位]
所有论坛地址加ucenter自动跳转同一个域名ucenter.****.com
恩, 目测创始站. Google下site:****.com inurl:php|asp|aspx|jsp, 出来的都是论坛, 语句改为site:****.com inurl:php|asp|aspx|jsp 噢.
Aucun document ne correspond aux termes de recherche spécifiés (site:****.com inurl:php|asp|aspx|jsp). 什么都没有..
主站于其他平台为同一服务器.
Hscan扫两个ip皆只开了80端口. http banner返回nginx,
测试文件尾名phtml phtmL, php pHp 确定都是linux服务器,
因未返回ngnix版本, 继续测试ngnix解析漏洞/.php, %00.php都失败. [两台服务器都测试了]
扫后台蛋都没扫出来.. 蛋开始隐隐作痛了..
0×03. 主站碰壁
在继续看主站..
新闻和公共的连接方式都是
****.com/index/news/gonggao/1103.phtm
****.com/index/news/news/4103.phtm
这样的, 像是htacsse rewrite了.
打开
****.com/index/news
****.com/index/
都返回404, htacsse重定向没得跑了.
继续测试
****.com/index/news/gonggao/1103-1.phtm
失败, cookie值中无可利用方向.
查看二级域名, 看看能不能有个admin.***.com之类的后台管理地址. 唉.. 只有www和bbs..
在看看论坛吧, 顺便开始尝试社工..进入公告发布板块看看管理员账户名, 同时
****.com 一下看看注册域名和管理域名的人的资料.
都是domain@****.com …而且
Email Search: [这是这个email的图片]is associated with about 23 domains
23个域名.. 估计其他那些平台也都是这个邮箱注册的了..
在确定一下,随便查了几个其他平台的域名资料.. 果然都是这个邮箱…
资料填写也都是公司地址, 电话为座机, 和官网上的联系我们的号码是同样的.
蛋.. 你肿么了..
0×04.分站进行时
公告板块翻了10几页, 发布公告人有13个以上.. ID都是GM0001-GM0024, ID都是20W+的.. 身份是编辑.. 用户组也改了名, 鼠标放到编辑二字上, 连接地址为home.php?mod=spacecp&ac=usergroup&gid=22 哦.. 因为dz从低级用户到管理员的groupID总共就10几个, 印象中.. 所以应该新建的用户组.. 不知权限如何.. 但估计很小..
点击名字查看资料却没有权限, 也懒得注册号去看, 因为应该还是没有权限的..
这里就给个小tip, 也不是什么漏洞, 算是代码过滤不严谨吧. 是前段时间无意中发现的,.
———————————–Tip开始———————————–
Dz很多版本, 具体没有测试, 就是未注册用户和普通用户是没有权限查看其他用户资料的.
就拿官网举例吧, 公告发布人有个Cnteacher, ID是859, groupID也是1,即管理员权限. 想进入空间看资料, ?mod=space&uid=859, 却显示’请先登录后才能继续浏览’
这时在url后面添加&do=index&view=admin 根据字面意思就是用admin权限浏览这个id的主页. 添加&do=profile&view=admin 就是用admin权限浏览这个id的个人资料. 如图
Ps:不要小看这些鸡肋的不算漏洞的漏洞, 有时能帮上大忙的.
———————————–Tip结束———————————–
这不, 现在就用上了, 可惜查看资料什么有用的资料都没有得到, 在查看ID为1的用户和前几的用户.
=-=, admin的用户组是新手上路. 高端啊.
2到20的ID只存在2个, 一个是test另外一个是test2.. 蛋.. 你不要死..
蛋疼的在翻公告板块的帖子, 顺手试着已有的x1.5exp, 利索用当的失败.
同时惊喜的发现ID为GM0009的会员组为1. 管理员 这三个红红的大字看的我好开心.. 而且ID还有个9, 恩, 喜欢, 不过要是GM9999多好.. 虽然帖子内容中没发现什么有用的东西, 但起码有了安抚蛋的东西. 乖, 小蛋蛋, 不痛, 等下爆他菊花.
哦. 蛋蛋, 又让你失望了, 一点资料都没有留下.. 而目前得到的邮箱有两个, 一个是domain注册邮箱, 另外一个是联系我们中的hr邮箱… 即为hr@****.com ..
难道我还要扮演域名收购者和高级裸辞人员? Oh no, 这样的欺骗要念多少经来去除业障啊.. 还是先不要了..
0×05.僵局中闪现突破口
僵局啊..
在去在看看这个邮箱所注册的域名有没有其他的..
啊哈, 还有个开服表的站的, 居然忘记了看这个了, 一般开服表的都是dede改的.. 看看这个是什么.
