对康盛创想一服务商的测试过程

### 简要描述： 对康盛创想的一次渗透，真是给力，好像走路掉坑里去了，起身发现竟然是掉钱坑里去了。那么问题来了，能给闪电？ ### 详细说明： 闲来没事逛了逛discuz的主站，随便点了点点进了购买服务里面去了， [<img src="https://images.seebug.org/upload/201410/14030306c1526a331c67b424d7a7beffb66df767.png" alt="111111.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/14030306c1526a331c67b424d7a7beffb66df767.png) 发现了一个邮箱graygao@comsenz-service.com，作为对邮箱比狗还敏感的我顺手打了mail.comsenz-service.com，跳出来了腾讯企业邮箱的登陆口，看来康盛就是用的企鹅的企业邮箱，然后我又习惯性的把域名放到demon里面去了，尼玛，恶习啊，扫出来了一个二级域名pm.comsenz-service.com [<img src="https://images.seebug.org/upload/201410/14030623bd22f347853f7b275c2d01734637c140.png" alt="22222.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/14030623bd22f347853f7b275c2d01734637c140.png) 访问了一下，是个dz 3.1的论坛 [<img src="https://images.seebug.org/upload/201410/140307128cc115d8518f5c2fc8392c1aed541bd0.png" alt="33333.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/140307128cc115d8518f5c2fc8392c1aed541bd0.png) 一看就是新搭建的，试了试弱口令，没有登陆成功。然后脑残的我又手贱的把网址放在了百度里面了。 [<img src="https://images.seebug.org/upload/201410/14030905c3c64e8b9aa72045bfc6a9ad93cd3adc.png" alt="44444.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/14030905c3c64e8b9aa72045bfc6a9ad93cd3adc.png) 竟然跳出来了一个新站http://dz.pm.comsenz-service.com/，人品爆发，discuz 7.2的。顺手打了admin admin，成功登录！ [<img src="https://images.seebug.org/upload/201410/14031139a06b56877a183a601d382bf73aa8baf8.png" alt="777777.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/14031139a06b56877a183a601d382bf73aa8baf8.png) 有了UC-KEY没shell你说个j8 [<img src="https://images.seebug.org/upload/201410/151117334c8058ae803ade1d361058fa4194231b.png" alt="14031259c95d2fcd8af33e705bd9b4bd3c05e13f.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/151117334c8058ae803ade1d361058fa4194231b.png) 里面好多康盛的网站，还有其他网站，cntv，伙伴网，一开始以为是公用的虚拟主机，尤其是伙伴网，没想到隐藏的很深啊！至于为什么这么说，后面会提到。 拿到shell后，开始一顿乱翻，发现就是个虚拟主机啊，没什么好继续渗透的啊，执行了个命令，，才发现有猫腻。 ``` [/data/wwwroot/dz.pm.comsenz-service.com/]$ /sbin/ifconfig eth0 Link encap:Ethernet HWaddr 90:2B:34:89:16:2B inet addr:10.0.6.5 Bcast:10.0.6.255 Mask:255.255.255.0 inet6 addr: fe80::922b:34ff:fe89:162b/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:6530950 errors:0 dropped:0 overruns:0 frame:0 TX packets:5091834 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:928731025 (885.7 MiB) TX bytes:3550915811 (3.3 GiB) Interrupt:26 Base address:0xe000 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:752783 errors:0 dropped:0 overruns:0 frame:0 TX packets:752783 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:111963706 (106.7 MiB) TX bytes:111963706 (106.7 MiB) ``` ``` [/data/wwwroot/dz.pm.comsenz-service.com/]$ cat /etc/hosts 127.0.0.1 localhost.localdomain localhost ::1 localhost6.localdomain6 localhost6 10.0.6.12 rtx.huoban.com 124.238.252.248 addon.discuz.net 127.0.0.1 pm.comsenz-service.com 127.0.0.1 panda.pm.comsenz-service.com 127.0.0.1 mantis.comsenz-service.com 121.101.221.52 www.tuanweihui.com 127.0.0.1 test.mybocog.cn 127.0.0.1 svn.pm.comsenz-service.com 127.0.0.1 cntvoverseas1.pm.comsenz-service.com ``` 执行命令发现在内网，发现了10.0.***.*** 和康盛没什么关系的网站啊，那为什么处在一个内网，真是搞不懂。然后又是一顿乱翻，把上面的网站访问了遍，出现了转机。mantis.comsenz-service.com这个网站是个单点登陆口 [<img src="https://images.seebug.org/upload/201410/1403220962c7e79884e2fb82967f599f5d2c1f85.png" alt="qq.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/1403220962c7e79884e2fb82967f599f5d2c1f85.png) ，可以注册，注册了个账号进去看了下，其他的网站，反正是很奇怪。 [<img src="https://images.seebug.org/upload/201410/1511175789de93dbf530d84a888e81f2cdd6f0d0.png" alt="14032402dedbb1b364c821dda6a2b929db8b51d4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/1511175789de93dbf530d84a888e81f2cdd6f0d0.png) ，看了看，还是没什么收获，停顿了准备交乌云的时候，我想到了数据库，果断找到了数据库账号去连了下，找到了mantis.comsenz-service.com的账号信息， [<img src="https://images.seebug.org/upload/201410/15111819bea2e6e95d056ac74ea590bafa0e091f.png" alt="14032708b197bef64f8127d335e1a06e0d3e2d92.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/15111819bea2e6e95d056ac74ea590bafa0e091f.png) 脸上数据库，找到了用户信息， [<img src="https://images.seebug.org/upload/201410/1511185791796b3e9fa9ba006445a7100224e38a.png" alt="140328020a33325f2c2d12362c9f64073bdf6a24.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/1511185791796b3e9fa9ba006445a7100224e38a.png) 发现里面有康盛的邮箱，然后破了md5去尝试登陆他的企业邮箱， 第一个就登陆成功了 ``` m***@comsenz-service.com M*** ``` [<img src="https://images.seebug.org/upload/201410/151119358e6b8132a0b457855e22d6652024c564.png" alt="14033000856ba16f294b0f8d171d003787c9a046.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/151119358e6b8132a0b457855e22d6652024c564.png) 于是把数据里的康盛邮箱全部收集起来，尝试登陆，又成功登陆了2个 ``` g***@comsenz-service.com x*** f***g@comsenz-service.com b*** ``` 发现了大量与客户的敏感信息，在gabe的邮箱里面发现了某网的邮件，说gabe成为了服务器管理员，于是我直接重置了他的伙伴网密码登陆进去看了一下，好家伙，吓死人， [<img src="https://images.seebug.org/upload/201410/151119555a4939dc22644b682ac4e5633d610ec6.png" alt="140336480cdc22a1e7420644f6d622dcf0d43ce1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/151119555a4939dc22644b682ac4e5633d610ec6.png) [<img src="https://images.seebug.org/upload/201410/151120144f803f0c9750e841a21470423d928212.png" alt="14033657d647acca437b3c50ba2364411278869a.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/151120144f803f0c9750e841a21470423d928212.png) [<img src="https://images.seebug.org/upload/201410/15112048eb336bbaa56e0c14a5774d01fe58f386.png" alt="14033707207234649fbae66d146913cd5cbed6b5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/15112048eb336bbaa56e0c14a5774d01fe58f386.png) [<img src="https://images.seebug.org/upload/201410/151121110856d4039d0a51595a22860c795f67e0.png" alt="14033715cb63f0f1c1b92f2abf881551572848ed.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/151121110856d4039d0a51595a22860c795f67e0.png) [<img src="https://images.seebug.org/upload/201410/1511220059f1a585064fb6464f25978b075ef372.png" alt="14033739617e9495271d770a2193c4022be850e3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/1511220059f1a585064fb6464f25978b075ef372.png) [<img src="https://images.seebug.org/upload/201410/15112333728a6b526ef2a29507dcf3857d5e4a05.png" alt="1403374964da5a58163e04a9e62294882d665038.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/15112333728a6b526ef2a29507dcf3857d5e4a05.png) 各种账号密码，敏感信息，看来康盛也提供技术外包啊。可是搞了半天不能进内网漫游还是不爽啊。别急，我后来在数据库里面翻的时候，发现了之前尝试成功的3个邮箱账号，竟然和3个某网后缀的邮箱的用户名一样， 我尝试把邮箱后缀换成***.com其他账号密码不变，登录某网的企业邮箱，发现都可以登陆进去！！ [<img src="https://images.seebug.org/upload/201410/15112415ab902c714bf1561857540016f26b9aaf.png" alt="140343100ed3b950a7c4d101dec2b01b2c69e60c.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/15112415ab902c714bf1561857540016f26b9aaf.png) 其他2个邮箱也登陆成功，既然进来了，那就翻点好东西吧。 果然出现了我想要的东西 [<img src="https://images.seebug.org/upload/201410/140344575328860ef34e0d4ffa8f802b2fed03a3.png" alt="qq.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/140344575328860ef34e0d4ffa8f802b2fed03a3.png) 哈哈，真是人品碉堡 [<img src="https://images.seebug.org/upload/201410/151124575d480c73702a9d0ed73ea04ded4cd1e2.png" alt="1403453753c070e3ecea97e17502796b9458c929.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/151124575d480c73702a9d0ed73ea04ded4cd1e2.png) 搞了一夜，没想到好东西都在后面藏着！！那就到这里吧，不深入了，夜深了~ ### 漏洞证明： 看上面吧，这个漏洞编辑够久了