目标站是aaaaaaa.comwww.t00ls.net; X7 K0 ^* i) j# x5 u
T00LS- k: F' }9 d+ l! y2 a0 P' ? 仅开放web服务,站点使用的是weblogic+apache axis+apache,axis管理平台应该运行在8080上,可惜被fw过滤了。通过手工分析和wvs最新版本的检查,没发现什么可利用的漏洞。b; l 观察主页发现,主页底部有个联系邮箱地址:,肯定是管理员的,找算从这个邮箱开始入手。找到mail.aaaaaa.com,猜了些口令没破出来,通过收集信息获T00LS7 @. M8 r" h M0 l, P% w6 d! J8 \* O 知这个邮箱系统是Anymacro,查了下资料貌似也没有现成的漏洞。然后就google一下,居然只找到一个地址-_-,看来想通过黑盒测出xss会比较麻烦。既然邮件 系统暂时没找着现成的入手点,就从aaaaaa.com域名开始入手吧,通过nslookup查出域名注册公司的网址是,根据经验很多人用的账号就是域名,用+ S, {& W7 h" s& ~/ w. R4 b8 P: s% X% M) A aaaaaa/123456登录域名管理平台,提示密码不对,把账号改为随意命名的账号aaaaaa1提示不存在此账号,果然账号名就是aaaaaa,不过折腾半天感觉密码确实难猜到。接下来就看{4 P$ q: I" p- Y% E8 [$ s 看“找回会员密码”有没有问题,用aaaaaa/webmaster@aaaaaa.com登录“找回会员密码”,提示注册账号不对,尝试了几个常见的形式:T00LS( i" |3 U! S& {# V# l. b$ U- I! ?+ c- I; E; k9 O: r4 B8 F5 ]& x$ r, v- h9 B2 w1 H - 低调求发展) r4 U* ^7 X9 B& q- _2 Rwww.t00ls.netwww.t00ls.net' T- U0 K' L2 _) A C0 ]9 r9 q \5 t% _7 r 都提示不对。还是再从域名注册信息调查一下吧,我习惯是用查域名注册信息(谁再提供几个吧),查出了信息如下:2 m& ]1 T T" Z) hwww.t00ls.net1 B$ i( l. u# o6 w4 X7 E: | Domain Name: aaaaaa.com ROID: xxxxxxxxxxxxx Domain Status: ok+ h5 ]0 I5 q+ b+ B% A Registrant Organization: 北京市xxxxxxxSecurity( B1 m* _! m3 w# N# @- E$ u S Registrant Name: 张三 Administrative Email: www.t00ls.net* }& U% d2 t6 f5 d" K8 g* I0 z Sponsoring Registrar: 北京xxxxxxx网络技术有限公司 - 低调求发展8 ]/ R2 k8 K2 k# E* Q# [9 F Name Server:ns3.xxxxxx.com.cn Registration Date: 2003-12-11 12:05 Expiration Date: 2011-12-11 12:05 其中就是当时的注册邮箱,而且是03年就注册了!接下来尝试用aaaaaa/zhangsan@abc123.com尝试登录“找回会员密码”页面,提示“密码已发送”。果然。。。 现在的问题就是如何搞定这个的邮箱了,结果悲剧了,nslookup查询发现这个邮件系统不存在:T00LS: @- s! d( O$ q0 ?* F" E *** Can’t find server address for ‘abc123.com’:Security; T1 n$ M7 H, N8 h/ N! K Server: ns1.cpip.net.cnwww.t00ls.net) @! M& P& J4 H# o Address: 210.73.64.1! c, U; O6 P/ [) h' {( ZT00LS) Y4 m! [/ `7 D, L. k' F DNS request timed out. timeout was 2 seconds. - 低调求发展# R/ i. C* e* G( D *** Request to ns1.cpip.net.cn timed-out2 w; t8 R0 i# l& p# wwww.t00ls.net1 k' Z+ o6 g5 ` ping mail.abc123.com也不存在,又一次杯具-_-T00LS% ^* ]8 _* R- l+ f/ H+ D 接下来通过对比发现,@abc123.com和@aaaaaa.com其中部分名称是相同的,所以我估计abc123.com是旧的邮件服务器,早已下线了,而现在更换为了新邮件服务器mail.aaaaaa.com 事实证实我的初步判断是正确的,我尝试在mail.aaaaaa.com上用zhangsan的账号进行登录,提示密码不对,那就是存在这个账号了!通过简单尝试猜测口令,发现zhangsan的密码就 g8 U 是zhangsan,邮箱里只有一封未读邮件,查看邮件发信信息是前几个月前,非常好,说明我们的张三很少访问这个邮箱,很符合社工***的要求。以现在的条件应该可以轻易的m4 o 出个xss去搞定共他邮箱了,不过做这个已经没有意义了,我们的目标是如何得到aaaaaa.com的域名管理密码。既然域名注册账号是使用的旧的邮箱地址,我们就想办法把它改回来,利用以上工作所收集的信息,我们可以做一次社会工程学***,可惜最终发现社工难以进行,通过与客服社交发现,如果要通过客服修改密码,必须要传真域名申请者的坐机、 - 低调求发展/ a. A V8 K: u4 a# Y U3 手机、工作单位、×××复印件等等信息,并且还要申请人电话进行确认。我不是米特尼克,社工这条路我是走不下去了。 接下来只能看看域名服务商的网站有没有问题,通过查看发现也没什么漏洞。接下来重点放在手工检查,我申请了一个域名服务商的网站用户,发现网站登陆密码是系统给的随机T00LS3 [. @8 k8 q! ~8 g$ J0 w' `T00LS, q1 i+ Z) e3 P+ \( R* v 6位数字,纯数字6位还是应该很好远破的。一般来说,域名网站的注册用户配置好域名以后,就不怎么会登陆了,所以很少有人去修改登陆密码。从上面信息情况来看,张三也很Security7 n) y1 f/ t. y7 x- y: R% ?& ST00LS- i+ E7 q- l; \0 ^" r$ A 少再登录使用域名管理平台(03年注册,注册邮箱还是旧的),所以有很大可能性他的密码就是系统的随机6位密码。 - 低调求发展) l; v V c! p6 y4 d5 z* S) F. T 分析到这步就有了一个明确的测试方向,要入手做字典和工具跑密码的活了。破解一直维持在1500个左右/每分钟. 在破解的过程中得多多检查网站是否正常运行),跑完整个字典的时间大概是1000000/1500/60=11小时,实际上肯定不会跑完字典才破解出来,破解所需时间在我的可接受范围内T00LS( N. U6 c" K* W1 M# Q* v* \# r2 I3 c) Z4 {. W% ]5 C0 @0 ]" [, T, {' Y* l 。最终我只等了1个小时就破出了密码,密码是“177243”。用aaaaaa/177243成功登陆网站,进入后会员有个mydns管理菜单,但是进行域名修改依然需要密码,用177243密码提示不 - 低调求发展& d( y) g& O+ e- 低调求发展" @$ C/ o. y5 {; ~# x1 ?3 } 正确,手工试了些常见密码也不对。再找找有没有text xss,我在会员信息修改里发现一处text xss,这里可以插入一段利用跨窗口劫持+函数劫持的xss代码,然后再引诱张三登陆域名管理平台并修改个人信息和域名管理密码,这样的话我们就可以得到这个域名管理密码。 - 低调求发展0 x3 \0 x( `( kSecurity0 {; f6 K, k9 G! d xss***的战术上是可行的,但要真正实施起来显然还是太麻烦了,所以我还是依然尝试用暴力破解***这个域名管理密码,首先去“会员信息修改”中获取一些他个人的信息做为猜, Y/ W6 D& k0 f9 l - 低调求发展 - 低调求发展% H# Y5 G: n4 C/ E6 k6 S 测密码,主要收集的是姓名、电话、手机、邮箱、邮编等信息:: R! w5 }* T i; j1 T! ZSecurity: I7 S/ e' I2 t3 F- W 姓名:张三(可变形为zhangsan、zhangs、zhangsan123等) 手机:1581111111 - 低调求发展' s! G- e* i4 t+ \9 F 电话:811111111 - 低调求发展4 q! ?" A0 Y( E p7 \9 I* i/ d 邮编:520520520www.t00ls.net& [! B+ [ W% l5 K 当试到邮编的时候,终于看到了可爱的mydns域名管理平台界面^_^,这次测试工作就到这里可以结束了。虽然本次测试没有涉及到多少技术,但是从整个思路上体会更有破案的味www.t00ls.net8 d* l6 t$ `8 I6 a+ f' A- 低调求发展0 b% H) d: Z5 K4 f5 d7 x7 A 道,一层一层的分析和推理,一步步的推敲,整个情况也越来越明了,最终达到了目的。其实这篇文章还是有不少内容没记录,比如我曾尝试smtp协议注入去获取邮件的“找回密7 J& ]4 x0 e6 ~ V( v/ \$ ` E7 S! M# K1 S: `* ~4 C( G6 Q 码”,还有对于域名服务商邮件服务器的测试、开始针对aaaaaaa.com的许多测试、以及google hacking收集和验证信息等等都省掉了,因为这些内容不是重点所以都去掉了。