前言

---

有次在路上看到修地铁围栏上贴的一个投诉的二维码，用手机扫描，发现是一个XX视频监控系统。接着在系统底部发现某公司提供技术支持，故对他进行安全测试。

信息收集

---

打开搜索引擎：输入公司名称找到目标公司网站，如下图：

端口扫描，开放如下端口：

ftp：21
web：80
mysql：3306
web：8080
ssh：22000

web目录扫描

---

发现有个del.php页面，如下图：

访问 http://www.xxx.com/del.php

这个del文件看似是个删除文件的，其实它没啥实质性影响。

打开发现它把web文件都加载出来了，其中有个tar.gz 格式的文件，第一感觉就是网站的备份文件。故下载之，果不其然。如下图：

翻找数据库配置文件

---

找到数据库账号密码后，去尝试远程连接发现无法进行连接，看提示信息估计是做了限制，只能本地连接。那就先放着。

访问其他端口

---

http://www.xxx.com:8080

发现是用WDCP搭建的网站，这套系统搭建网站很方便。

去网上找了一圈WDCP系统的相关漏洞，目标不存在漏洞。

但WDCP搭建的会有phpmyadmin数据库管理系统，在域名后面加上phpmyadmin弹出了窗口，让你输入账号密码，拿之前源码泄漏的数据库账号密码成功登录之。

查到网站账号密码，密码md5加密，去cmd5.com上成功破解出明文。如下图：

获取到账号密码，找到目标网站后台进行登录，如下图：

发现网站采用的是phpcms，如下图：

后台getshell

---

通过查询到的方法，在如下图所示处插入一句话即可成功Getshell

反弹shell

---

通过一番查找，找到了WDCP系统的mysql账号密码，如下图： cat /www/wdlinux/etc/pureftpd-mysql.con

通过phpmyadmin访问wdcp数据库，找到wdcp系统的账号，成功解出明文，如下图：

利用获取到的wdcp系统的账号密码成功登录wdcp管理系统，如下图：

ssh和wdcp账号密码一致

清除痕迹

---

清除操作系统日志：

echo > /var/log/syslog
echo > /var/log/messages
echo > /var/log/httpd/access_log
echo > /var/log/httpd/error_log
echo > /var/log/xferlog
echo > /var/log/secure
echo > /var/log/auth.log
echo > /var/log/user.log
echo > /var/log/wtmp
echo > /var/log/lastlog
echo > /var/log/btmp
echo > /var/run/utmp
history -c

清除Web操作日志：

清除登录日志：

单条清除：

DELETE FROM `wdcpdb`.`wd_loginlog` WHERE `wd_loginlog`.`id` =220;

批量清除：

DELETE FROM `wdcpdb`.`wd_loginlog` WHERE `wd_loginlog`.`id` BETWEEN '100000' AND '250000';

清除登录日志：

清除操作日志：

峰回路转

---

其实最开始是想搞地铁围栏贴的那个二维码的，由于有些原因不太好搞。所以才转向页面底部的 技术支持：供应商。

最后无意间利用供应商网站备案后查了下，发现他另一个域名，打开发现集成了好多监测系统。如下图，第二个网站。

访问发现集成了很多系统，包括目标站点系统也在列。其中登录状态：登录成功，猜测是web系统自动登录。如下图：

进一步抓包分析，果不其然，只要访问页面，页面上的系统均会自动进行登录，数据包里也包含了明文账号密码。

但是发现目标站点系统数据包并未记录账号密码，查看返回包应该调用的接口，如下图。

判断，根据抓到的数据包其它的站点系统是存在账号密码的，那是否可以利用其它站点系统的账号密码去尝试登录目标站点系统呢？经过尝试，是可以的。

利用其它站点系统的账号密码成功登录最终目标系统，如下图：

原文链接

https://www.t00ls.com/articles-70907.html

原文始发于微信公众号（T00ls安全）：对某供应商网站安全测试及峰回路转