一、被盗号找上门

今天一打开QQ邮箱，看到个群邮件

这货以发聚会照片为名义给出了一个网址

Default

http://202.194.131.20/xcb/xcb/link.php?id=73&url=http://yyhhj.emy.in/cc/?933046

1

http://202.194.131.20/xcb/xcb/link.php?id=73&url=http://yyhhj.emy.in/cc/?933046

我估计着因为这段网址前半部分

Default

http://202.194.131.20/xcb/xcb/link.php?id=73

1

http://202.194.131.20/xcb/xcb/link.php?id=73

是一个正规网站的地址，只是通过调用link.php的url参数把页面转到

Default

http://yyhhj.emy.in/cc/?933046

1

http://yyhhj.emy.in/cc/?933046

这个盗号者做的网站，所以QQ邮箱并没有把它当作垃圾邮件处理，被它钻了空子。

出现一个类似QQ空间的网页，仔细的人会发现它和真正的空间并不一样

只能说，这个盗号网站还真是做的挺像的，不知道的人就直接输入QQ号QQ密码，于是就被盗号了。。。

百度了下这个网址，这货发的地方还是挺多的，理由也挺多，就差求被爆了，哈哈

二、初探

直接搞这个站搞不了，还一扫就挂了，就想到拿下它的域名提供商。

但是，拉到最下面的时候发现一个好东西

点开一看，果然是域名提供商

三、拿shell

尝试了下弱口令，失败了。这种站基本上是静态的，又没有注入，看来直接搞这个域名提供商的站比较困难。那么就尝试旁注吧

这里面，前两个都是域名提供商，第三个网站已经没了，唯一的希望就是第四个了

御剑扫一下，发现后台和两个上传页

可惜两个上传页一个是空白页一个需要登录，后台尝试弱口令也失败了

观察后台，发现是一个叫PiPi的CMS，百度下也没发现有什么漏洞

无奈之下，下载它的源码看看。

翻着翻着我发现了cfeditor/ckfinder这个编辑器组合

运气不错，因为cfeditor/ckfinder这个编辑器组合是不用任何验证都可以上传文件的，而且功能丰富，可以上传文件，可以新建文件夹，可以重命名文件，碰到了又没限制会是很爽的，哈哈。

(这里貌似IE打不开，用Chrome或FireFox可以打开)

刚才查旁注的时候得知服务器用的是iis6.0，所以解析漏洞神马的都出来吧

直接上传脚本格式的马肯定是全军覆没了的，上传1.php;.jpg又被改名了

上传1.php;jpg也不行，重命名改回来也不行

只有建文件夹了，先建了一个sky.php的文件夹，并上传了一个jpg后缀的马(91ri.org注：iis解析漏洞中只能解析*.asp,*.asa,*.cer的文件夹，*.php是不能解析的)

结果访问的时候却悲剧了，显示没有这个文件

不甘心下，猜想服务器应该会支持asp，重新建了一个sky.asp的文件夹，传了一个马成功解析，用菜刀连接，拿到此站webshell。

权限一般，可以读D:www以下目录，但是只有本站目录可写。

四、直奔目标

重新整理一下思路，因为我的目标站是这个免费域名，那么我要把这个网站改掉有三条路。

第一，这个免费域名和域名提供商在同一服务器下，通过提权拿下

第二，拿到管理员密码，猜测就有权限改掉这个免费域名

第三，拿到这个注册免费域名的用户名密码，登录他的用户后台，改掉网站

Ping了一下这个域名，和域名提供商不在同一个服务器下，那么第一条路就断了。分析下后面两条路。

这两条路都需要获得用户名密码，而这个站是MySQL的数据库，所以就通过执行MySQL语句来查询、修改。

首先找到数据库连接文件，人品不错，竟然直接就是root权限

好吧，首先找域名提供商的管理员密码查库，目标数据库是yakuy

查表，管理员用户名密码应该在sf_admin这个表中，而注册人用户名密码应该在sf_user这个表中

查列查内容，用户名密码出来了这个密码的加密方式是md5($apstr.md5($pass))，就是先把密码通过md5加密，再把apstr的值放在加密后的md5前面，整体再进行md5加密。(md5均为32位。多亏了三石老大那篇文章我才知道是这样加密的。= =)

比如我的密码是sky，通过md5加密后是900bc885d7553375aec470198a9514f3，apstr我取它原来的值uywIkQg72，那么整体就是uywIkQg72900bc885d7553375aec470198a9514f3，再取md5，就是fc85c28cef35b622655e24edd2558ce5

直接对管理员的用户密码解密有点麻烦，干脆直接加一个管理员用户，用户名密码都是sky

登录成功

在后台翻了一下，发现只能删除域名，不能修改域名指向，而我又想挂个菊花聊天室提醒下点进来的人，所以我干脆也直接进盗号者的账户算了，不过这个就不能像添加管理员那样添加了，就直接修改他的密码吧，也省的他继续申请域名来祸害他人。

操作基本上和前面一样，用户名是邮箱，密码是一样的加密方式md5($randstr.md5($pass))

修改他的密码成功

成功登录

到了这步结果悲催了，捣鼓了半天都没法把域名转发到一个菊花聊天室上，郁闷啊，求指点啊~~~

结果最后只有把挂菊花聊天室的念头放下了，直接删域名算了。。。

继续在后台里翻，结果发现这货有一堆帐号，还在不断的注册帐号、注册域名

只能说这货精神可嘉，行为可耻了。。。= =

删完他的域名，把他要解析的ip丢入黑名单，拍拍屁股走人

[via@小天]

91ri.org点评：很久没看到这么详细的反黑过程了，文章思路较清晰，可以作为一篇不错的新手教程来看，文中涉及到一些渗透测试思路的基础(包括但不局限于域名劫持、旁注、利用解析漏洞拿webshell等等)，推荐刚刚入门的同学仔细阅读。