黑客入侵闪客帝国Flashempire的整个过程

今天没什么事正在几个论坛上闲逛,突然TUPUNCO 发来消息’闪客帝国主站有个地方好像有问题,你看看’，然后直奔http://www.flashempire.com。
测试后发现mysql在4.0已上-支持union，如果利用成功，直接威胁到主机的安全。 

入侵步骤 One 

    首先扫描一下flashempire.com 主机,发现一些常用端口。MySql数据库支持远程连接,整理了一下入侵思路还是重我比较熟悉得 脚本注入 下手吧。首先我们要得到web目录得路径,怎么办呢？就让它出错吧 ^_^ ，当提交一个错误的Query，如果display_errors = on，程序就会暴露WEB目录的绝对路径，只要知道路径，那么对于一个可以注入的PHP程序来说，整个服务器的安全将受到严重的威胁。构造语句是小意思了。 
http://www.flashempire.com/theater/top10.php?id=315 就已此为突破口 
提交如下信息: 
http://www.flashempire.com/theater/top10.php?id=' 
http://www.flashempire.com/theater/top10.php?id= 

返回因为提交数据出错而爆出的路径，如图; 

    再次思考了下,自己对闪客帝国的网站系统结构一无所知。就将我们的目标定位在MySql数据库，所有当前首要任务是拿到config.php中的数据库帐号 and 密码。由于闪客帝国的主站系统是自己开发的,我们无重得知其文件列表与数据结果。这里我们考虑直接读取文件,就是load_file()，该函数的作用是读入文件，并将文件内容作为一个字符串返回。 
当然其也有很多的限制:[php手册中的解释] 
1、 欲读取文件必须在服务器上 
2、 必须指定文件完整的路径名 
3、 必须有权限读取并且文件必须完全可读 
4、 欲读取文件必须小于 max_allowed_packet 
5、 如果该文件不存在，或因为上面的任一原因而不能被读出，查询返回 NULL 

思路 2: 
由论坛入手上传Php Shell,浏览dhht – setting表,得到论坛得浏览地址 http://61.156.17.126/dhht/  然后我们注册个帐号 safer/safer ;然后在PhpMyadmin中选择dhht – user数据库并执行" select * FROM `user` where username=’safer’;"把我得帐号usergroupid修改为6,这样我就成论坛管理员了。

    登陆后台 http://61.156.17.126/dhht/admin/ 把论坛常规选项 －附件的有效扩展名 中添加php.然后找个人少的版面上传Php后门。结果又是失败――又到数据库中查看才知道此VBB 2.3.4没有修改过,全部附件数据都在 数据库 中Php后门当然不能执行。。。555 ：（ 

    此时陷入深思中,给angel lanker 发短信。结果angel说跑来上网看看,lanker得陪人。然后又给MM发消息,说好一起吃晚饭。这时我也冷静了下,在等angel的同时继续看闪客帝国,突然发现刚才得数据库中怎么没有闪客帝国本身的论坛数据？！。浏览flashempire.net 闪客帝国论坛。Ping 了下后发现flashempire.com和flashempire.net 是2台服务器。 
flashempire.com - - 202.115.129.17 
flashempire.net - - 202.115.129.49 

    用刚才得MySql数据库帐号连接flashempire.net - - 202.115.129.495居然也进去了。又四处乱逛,对闪客帝国论坛flashempire.net也试着上传了下php后门,结果一样――又是失败！既然这里没什么问题，思路混乱中,和angel边聊天边清理思路。最后抱着试试看得心里发据下管理员的blog表,希望在里面发现密码的相关信息。在61.156.17.125-allanblog-AllowedTypes中却以外发现了我梦寐以求的东西！ 
AllowedTypes:jpg,jpeg,gif,mpg,mpeg,avi,mov,mp3,swf,png 
很明显这个blog允许上传影音文件,那么文件夹当然是可写得,我们得PHP后门当然也能传上去。 
访问61.156.17.125-allanblog-nucleus_member管理原得密码果然是MD5加密得。还有办法,很快我下载了个同样得BLOG程序并在我电脑上安装成功,设置管理帐号safer/111。 

698d51a19d8a121ce581499d7b701668 safer 
5dfb3282f16949956bb84731bd4a3884 allan 

    用PhpMyadmin替换一下顺利登陆,然后上传我们可爱的php shell。终于上传成功,感动哦。马上给lanker报喜 嘻嘻.. 

     然后在服务器里到处逛逛,看看管理员的目录都有那么好东西；看看Apache Ftp的配置文件并下载/etc/passwd 看看。对Linux我不是很熟悉,就此不再继续深入。如果是NT的就可以考虑下抓包等,获取密码信息渗tou入公司内网。约了MM吃饭可不能迟到，给闪客帝国得admin 发 gmail 去。哈哈打电话叫 MM 出来一起吃饭庆祝咯！

黑客入侵闪客帝国Flashempire的整个过程文章结束