原文地址:http://blackbap.org/post/51cto_hacked_database_downloaded
獨家披露51CTO被黑過程:數據庫已小範圍流傳
習科的小編幾乎每天都要處理來自世界各地的各種安全報告,在12月3日的時候習科小編收到一封來自***K的Email報告,稱自己拿下了國內著名IT技術站點51CTO,12月5日該***還發來了51CTO用戶數據(800W+)的網盤地址。據小編瞭解到,12月5日51CTO確實出現過500無法訪問的狀態,震驚之餘的小編表示看完報告後更加的震驚,到底是什麼情況,我們來了解一下吧。
據瞭解,51CTO站點有多個數據庫,******時間早於12月5日,passport庫中大約有幾十萬的數據,比較重要的是ms-ku-00這個服務器的數據庫,論壇(800W)以及博客(800W)的數據全都在上面。
***附上了***過程,並且明確表示51CTO並非未開發的處女地,在他上去之後發現了多枚陳年webshell,對此小編想說,呵呵。
不過能拿下51cto.com小編想說其實純屬是運氣好,以下是被小編和諧過的***文檔,我們先從頭看。 下午的時候,我接了一個做網站的小項目,客戶是個服裝品牌的老闆,希望可以仿照某品牌的網站做一個,於是打開那個品牌站點。搞網站搞多了,習慣性在域名後面加了個robots.txt,發現居然是phpcms的站,心想把站搞下來改改圖片任務不就交差了,於是用了phpcms最新的前臺客戶post直接獲得webshell的漏洞拿下了目標站點。
拿下以後我緩緩的抽了口煙,很多網站最新的漏洞應該都沒打全補丁,本來心想寫個利用工具,但是搞站這種事情搞起來就手癢難耐,不搞兩個大站下來不會過癮的,就先搞站再研究工具。
於是Google Hacking,構造關鍵字:inurl:robots.txt phpcms,得到了1000+個搜索結果,保存列表後,準備挑選目標下手。
Part2
翻了半天我發現www.linkphone.cn這個域名看起來比較牛逼,於是拿他開刀。
首先在域名後面加上
/index.php?m=member&c=index&a=register&siteid=1
先註冊了用戶(還要驗證郵箱),再訪問:
/index.php?m=member&c=index&a=login
登陸前臺。在前臺找了半天沒有發現上傳頭像的地方,正準備放棄,順手在網址後面加了
/index.php?m=member&c=index&a=account_manage_avatar&t=1
也就是phpcms默認上傳圖片的地方,結果出來了上傳界面,果斷操起burpsuite截包傳馬。
Part3
首先將瀏覽器設置成burpsuite的代理:
然後隨便選擇一張圖片上傳,點擊保存。
這時burpsuite攔截下數據包,將攔截下來的POST包發到repeater中,然後再桌面上新建一個文件夾命名爲a,再在a中加一個文件夾b,最後在b中放入php腳本。
我一開始寫入的是一句話***,然後將整個“a”文件夾壓縮成zip格式,這時候再到burpsuite中,將攔截下來的post包中原來圖片的數據段刪除,右鍵選擇“PASTE FROM FILE”選取剛纔壓縮的“a.zip”。
然後點擊go,當response爲200時說明已經上傳成功,這個時候可以停止burpsuite的攔截,隨後我們查看當前頭像的地址。
/phpsso_server/uploadfile/avatar/4/10/39468/180*180.jpg
/phpsso_server/uploadfile/avatar/4/10/39468/a/b/1.php
Part4
我將一句替換成習科5.1大馬放進zip文件以後重複上面步驟發現可以成功上傳。
不科學的地方明顯不在這裏,最不科學的地方是,我隨便找了個同服站點查詢,居然發現這個站和51CTO同服。
服務器的權限設置不嚴,我一頓亂翻之後,果然找到了51CTO的目錄,打開以後小夥伴們都驚呆了! PS: @__@小編我也驚呆了!
訪問後發現51CTO的主站和分站應該都在,但是服務器做了負載均衡,於是多傳了幾次就順利拿下51CTO主站了。
Part5
緩緩的吐個菸圈,我發現根目錄下的文件很有意思,有個2010年創建的logo.php文件,我表示很好奇,因爲通過瀏覽器訪問居然是個百度的logo,而下載回來用文本文檔打開,噗。。。是個一句話小馬,一句話密碼是xy,猜不到是哪個前輩的,總之就是屌爆了。
首先掃了一下webshell,發現還着不少,統計了一下有這樣幾個:
/logo.php,密碼:xy,***類型:
/download/asus/help.php,密碼加密:未知,***類型:習科大馬
/cert/bazs.cert.php 密碼:ri,***類型:phpspy
密碼過於簡單,也不知道都是哪個前輩的東西,要是知道了,非去She膜Gong拜他一下不可。
然後就找數據庫配置,發現這個文件的配置比較全。
/data/www/51cto.com/cms/htdocs/wuyou/config_base_test.php
其實每個數據庫賬戶能訪問到的數據庫不止一個,我是用的SQLyog(attach.blackbap.org/down/sjku/SQLyog.rar)配置了HTTP隧道讀取數據庫信息,不知道前輩是用的什麼工具。
我記得前幾年就有人賣51CTO的數據庫,記得當時是1塊錢/1W條,不知道現在什麼價格
Part6
最後吐槽一下51CTO,網站真心做的大,但是安全真心做的差,Web服務器和數據庫讓你們配置成這樣也算得上是奇葩一大坨了。
//BlackBap.Org
Part7 --->>>小編補充
以上節選自***K發來的文檔,內容有刪減。
雖然小編已經將51CTO的數據庫密碼加了非常強大的密碼了,而且保證習科不會將數據庫的密碼外傳,並且已經通知了***K,希望他尊重用戶隱私不得外泄51CTO數據庫,但是***K表示有51CTO最新數據庫的並不只有他一個人,數據庫早就已經在圈內小範圍的流傳開來,習科藉此提醒大家:請注意修改自己的密碼,避免躺槍。
藉此提醒各位廣大的站點:請對自己的產品負責,對用戶的隱私負責。