嗅探社工渗透www.cmd5.com - 安全检测 - 中国红客联盟 - 全球最大的红客组织

文章作者:黑鹰小子/BlAck.Eagle【B.H.S.T】
提起cmd5.com，估计安全圈子的朋友都很熟悉，笔者也非常厌烦它现在的盈利模式，比较简单的英文字母，现在也都成了收费的，于是萌发了这个邪恶的想法。
每次做测试的时候，

提起cmd5.com，估计安全圈子的朋友都很熟悉，笔者也非常厌烦它现在的盈利模式，比较简单的英文字母，现在也都成了收费的，于是萌发了这个邪恶的想法。
每次做测试的时候，笔者一般都构思下流程，这次也不例外，这种网站一般还是需要从嗅探入手，笔者准备首先利用Zwell的IIS put Scanner简单的扫描下目标网段的web服务器结构，因为它能帮助我们把很多有用的banner都扫描出来。



笔者通过扫描，发现存在了PUT为On的一个IP，很多时候存在PUT为yes，但是上传失败，可能是webdav被禁用或者目录没有写权限。然后利用老兵的iiswrite工具写入一句话马，写入成功，然后通过“MOVE”来改为ASP格式，但是这时候经常出错，最后只有改为.asp;.jpg这种格式才逃脱杀软的毒手。然后通过一句话客户端，上传了很多次都是服务器500错误，木马被杀，最后通过消灭和Psjj兄弟提供的webshell，成功。

简单看了下权限，还算比较大，通过webshell的下载功能上传了cmd，提权大杀器pr，nc。通过NC反弹到本地并且添加了一个用户，顺利添加了账户。并且成功登陆服务器。


到达服务器一般是先把服务器的洞子给补上，首先将“Web服务扩展”中的WebDAV给禁止，然后将网站属性，主目录的写入给去掉就可以了！

这时候，笔者才回过头来看目标站点，首先是简单ping了下cmd5.com的站点，无法ping通，然后通过ipconfig/all看了下子网掩码，发现子网掩码是255.255.255.128，哎，真的失望了，和目标不在一个网段，但是接下来，目标更加清晰了，只用到125.254.44.126去渗透一台服务器就好了，不出意外就会跟目标是同一个网段。

说干就干，和朋友饮恨操刀上了，这时候在目标2xx网段，利用简单社工的账户进入了某php168后台，这里需要说明的是，该php168系统已经是最新版本，通过模板那里直接添加大马已经不行，写入马后，就会马上被清了，然后笔者想到了select into这种方法，但是也失败了，提示信息是服务器拒绝这个普通的mysql账户。


折腾了很久没办法，在好友Robert的提醒下，笔者打算通过添加一个普通的模板文件，
Template/default/none.htm，通过写入

tested by black.eagle
这种文件，然后再“系统设置”-“网站首页设置”，点击提交，然后把首页生成静态页


大家可以看到oo.php确实已经执行了，但是笔者在none.htm，写为

tested by black.eagle
的话，eval被过滤为了eva l写为下面这种格式的话，确实写入了，但是无法通过一句话马的客户端“专家模式”来执行

tested by black.eagle

至此告一段落，然后在寻寻觅觅中拾得一PHPCMS后台，这个后台也没少了瞎折腾，虽说phpcms拿webshell简单，这里无法执行sql，给管理禁用了，然后通过
admin.php?mod=phpcms&file=safe&action=see_code&files=eagle.php这种格式，由于写入种
种小马的原因没有成功，也希望各位看官以后直接上大马。

拿到了webshell，并且这管理的疏忽，系统权限到手！

看了下子网掩码，和cmd5.com同网段，好男儿，操刀上了！判断了网关，为.129，ping和tracert对方的IP都不通，看来有防火墙，ARP防火墙不好突破，那么只有稍微改变下cain的发包间隔，即毒化远程ARP缓存每隔19秒，默认的是30秒！

确实也嗅探了一些账号。

只不过，嗅探了一会机器就挂掉了，ping的时候说是目标网段不可达，笔者只能等到第二天，那么只能让IDC的客服帮我们重启下了啊，虽说是知道了，长城宽带的机房，但是不知道是哪个IDC啊，没办法，笔者先找了个该网段的站点，加了他们站长聊了下，成功获取信息。

然后通过上述获知的客服QQ，又联系上了负责该服务器的客服，等了差不多10分钟，机器就启动了，ping的时候也能通了，谢谢客服姐姐们的工作态度，此致敬礼！


等了些时候，获取了shell，也隐约感觉到目标可能做了CDN，因为IP变动很大。

如果CMD5的站长看到这篇文章，请也不要发火，笔者不是有意想渗透进去，希望能成为朋友！


思路很不错 大家也看看吧！