一次曲折的拿站实录——由域名权限到服务器权限

一次曲折的拿站实录——由域名权限到服务器权限             

Post By              webmaster             入侵思路,渗透

http://acmai.com/2013/10/376/

暑假过完，升到了高中，结实几个比较要好的哥们儿，有一个兄弟玩游戏的。叫我帮搞定一个站点，遂有了这篇文章。

拿到网站目测了一下，ASP站，看似比较好拿，Google了一下注入点发现几个注入目标，随手or 1=1测试了一下，发现有WAF安全狗操出伪造user-agent神器伪造Baidu蜘蛛，无果。wwwscan扫了一下，WAF给403掉了。无奈X-scan慢速跑了一下，也只发现80和21端口。21跑弱口令也无果。网站手动遍历了一下后台，防护很严实，没有找出后台。眼看程序下手没有办法，尝试了下社工域名，whois一下，发现使用的dnspod，管理者邮箱也有，souku跑了一下跑了几个密码出来，dnspod一试，果断进入。打开域名列表一看，67个域名全是这类似的赌博站。找到目标域名，准备在自己服务器反向代理时，却发现DNS解析里面只有一个www，直接IP进去转到了该机器上另一个网站。最后想到一个蛋疼的方法，服务器一般添加www解析的时候，根域名也会被解析过去，遂主机头填了一个@，IP解析源地址，果断成功访问。www头解析到我的机器上面，我的机器反向代理根域名。ping www头，是我的服务器IP了。过了一天，登上我的服务器，取下了nginx的日志，翻了很久，记录里面终于找到了网站后台地址。果断进入，尝试了各种弱口令，无果。最后想到一个奇葩的方法。用反向代理里面的替换功能，把登陆页面“验证码”这几个字替换成了“验证码[我的XSS Playload]”。大概等了有十分钟，邮箱就响起来，Cookies到了。用chrome插件Edit the cookies修改Cookies，刷新。成功进入后台。后台网站配置插一句话，菜刀连接，剩下的提权就轻松的事了。

这里主要想提供一个思路:

在无法直接拿到程序漏洞，服务器无法下手的时候可以尝试拿域名权限，反向代理，nginx查连接记录找后台。找到后台登陆地址，从页面源码找特征字符，在用反向代理的关键词替换功能，将字符替换成xss。遂后，拿cookies拿后台拿服务器就轻松很多了。