_Lâu lâu ko viết tut , vào làm cái gọi là tut chơi hehe ,bữa có nhặt đc con shell trên forum soha ,phân tích server thì khá khó LOCAL ,getroot thì ko có kerl
Uname -a: Linux web_forum_6156 [COLOR="Red"]2.6.18-308.[/COLOR]24.1.el5xen #1 SMP Tue Dec 4 18:33:26 EST 2012 x86_64
_Đối với mình có shell trên site lớn có rất nhiều tác dụng , để chức thực điều đó view file config lên thấy 1 đống này
$config['MasterServer']['servername'] = '192.168.3.72';
$config['MasterServer']['port'] = 3306;
//$config['MasterServer']['username'] = 'forumxxha';
//$config['MasterServer']['password'] = 'jZxxxxA';
Đôi chút về soha
+ Đã xem qua server gồm có những hệ thống sau- [url]http://phim.soha.vn/[/url]-http://video.soha.vn/-http://sohagame.vn/-http://musik.soha.vn/+Hệ thống quản lý server+Riêng forum sài cùng hệ thống ads với vtc- Sài hệ thống quản lý Ganglia XML Grid monitor-Quản lý dữ liệu bởi máy 192.168.3.72-Dịch vụ Web-Based Enterprise Management CIM-Chạy ssh server_Nhìn cái ip 192 cũng biết đó là ip local của máy , chắc chắn sẽ remote được vào data của nó,vậy ta connect vào xem có cái đéo gì ko,thường thí mấy ku có shell rồi thì khỏi cần vào data làm gì , điều đó vẫn là sai lầm :d
_trên cái ảnh kia cho thấy có rất nhiều data chứa ở máy đó suy ra 1 điều đây có lẽ là máy chứa data dự phòng chăn ???
_tiếp tục với suy luận , nhìn thấy cái data ipro_5 chả biết nó là data gì thử goole gõ những từ khóa liên quan xem : ipro soha
kek đúng như dự đoán có site ipro.soha.vn , nhưng liệu data của nó có nằm trong đây ??? thử mò vào table user của nó xem
hú hú đúng là data nó sài rầu vui sướng , tiếp tục thử update pass và đăng nhập , nhưng pass admin vẫn ko đúng :-ss
_Đến đây nản , chả lẽ bỏ đó , nhưng ko xem lại config của thằng forum soha tiếp tục phân tích , trong đó nó connect đến 1 đống ip khác nhau
+Máy 192.168.3.72 dùng để chứa data forum và mấy cái test ko quan trọng
+Máy 192.168.6.220 dùng để chứa data của http://sohagame.vn/
+Máy 192.168.9.109 là laveserver đéo biết nó chứa cái lồn gì
_Để ý máy 220 ta thử connect vào data nó xem thì lại đc đống này
_nhưng vẫn ko có data của ipro , mẹ kiếp chả lẽ bỏ :-ss , châm điếu thuốc suy nghĩ 1 lúc thì , sao ko crack pass nhở :-?? , tiếp tục quay lại với thằng 72 , view lại pass thì nó là MD5 , có thể crack hehe , vất cái pass thằng admin lên google thì ra đc pass , giờ login vào ipro.soha.vn thì .........phép mầu hiện ra
_Xem lại mã nguồn của nó thì nó sài drupal , có rất nhiều cách up shell và nếu nó change link thì vào http://ipro.soha.vn/robots.txt sẽ ra link admin
_Cuối cùng up đc shell , và view file config của nó thì lại được đống này
SMTP Server:192.168.4.21_và log hệ thống bà con có thể xem ở [url]http://mrtrung.net/secure.txt[/url]
Email :no-reply@i-pro.vnx
cMfpWWvnSD7
I-pro 5494af1f14axx939968c iceinflame@gmail.com
## Access control
$compress_options['username'] = "98babe4aexxxxac1d5c452d1ac";
$compress_options['password'] = "1b6740bexxxx32b598acbccd46d83";
## Path info
'/vcdata/iprodev'
Jul 5 10:26:56 localhost sshd[3373]: Accepted password for manhnd from 192.168.1.63 port 1677 ssh2
Jul 5 10:26:56 localhost sshd[3373]: pam_unix(sshd:session): session opened for user manhnd by (uid=0)
Jul 5 10:26:58 localhost sudo: manhnd : TTY=pts/0 ; PWD=/home/manhnd ; USER=root ; COMMAND=/bin/bash
Jul 5 03:31:01 localhost proftpd[3344]: localhost.localdomain (::ffff:116.98.1.164[::ffff:116.98.1.164]) - FTP no transfer timeout, disconnected
Jul 5 03:31:01 localhost proftpd: Deprecated pam_stack module called from service "proftpd"
Jul 5 03:31:01 localhost proftpd: pam_env(proftpd:setcred): Unable to open config file: /etc/security/pam_env.conf: No such file or directory
Jul 5 03:31:01 localhost proftpd: Deprecated pam_stack module called from service "proftpd"
Jul 5 03:31:01 localhost proftpd: pam_succeed_if(proftpd:session): error retrieving information about user 0
Jul 5 03:31:01 localhost proftpd: pam_unix(proftpd:session): session closed for user iprodev
Jul 5 03:31:01 localhost proftpd[3344]: localhost.localdomain
_Phân tích cái đống log trên thì ta thấy có 1 thằng manhnd log vào hệ thống thường xuyên
_Tiếp tục view config thì ta đc cái đống bở này nữa
#$db_url = 'mysql://iprxxxst.VC@192.168.3.72/ipro_5';
$db_url = 'mysql://iproxxxxxest.VC@192.168.9.109/ipro_5';
//$db_url = 'mysql://iprotxxastest.VC@192.168.2.130/ipro_5';
_He he nhìn cái ip config của nó ta lại ra được 1 đống béo bở nữa......tiếp tục phân tích tiếp
_Ta có thêm máy 109 ở phía trên lúc trước ko biết nó là cái gì , nhưng connect vào thì đã biết nó là cái gì rầu , ko nói đâu :-"
ache_inc' => './sites/all/modules/memcache/memcache.inc',
'memcache_servers' => array('192.168.2.147:20291' => 'default'/*,
'192.168.2.200:20291' => 'locale',
/*'localhost:11212' => 'default',
'123.45.67.890:11211' => 'default',
'123.45.67.891:11211' => 'cluster2',
'123.45.67.892:11211' => 'cluster2'*/),
'web_servers' => array( '192.168.4.124',
'192.168.3.108'),
'root_path' => '/var/www/html/files/cached/',
_Máy 192.168.2.147 <-- chạy memcache_servers keke cái này có thể làm nghẽn server đây ;))
sites/all/modules/memcache/
_Bên nề
Ở máy 192.168.2.199:3307 chứ data SERVER GAME Hỗn thế
+User :honthe
+Data :honthe
+pass:honthe
-Ở máy 192.168.6.220 để dữ liệu của cửu kiếm
+user :phuongnb
+data :cuukiem
máy 199 chứa gì đéo biết
máy 203 chứa file dữ liệu
máy 195 chứ dữ liệu thất kiếm
máy 221 dữ liệu thất kiếm web
máy 111 chứa data dữ liệu
+có thể lấy đc gift code của nó ^^ hehe , đã tạo thử game và chơi thành công
nằm ở dv_cck
status_code : sửa 11 , mỗi lần chỉ đc add 1 lần
Thông tin server 222.255.27.164
tình trạng là ko thể local với path /var/www/html/ chmod khá kỹ
mỗi 1 website sẽ đc đặt ở /home/ nhưng khi vào chỉ có riêng gamesoha.vn và những thằng nào nữa đéo biết
Safe_mod: OFF - PHP version: 5.2.17 - cURL: ON - MySQL: ON - MSSQL: OFF - PostgreSQL: OFF - Oracle: OFF
Disable functions : NONE
Uname -a: Linux ipro_web_6137 2.6.18-194.el5xen #1 SMP Fri Apr 2 15:34:40 EDT 2010 x86_64
Server: - id: 48(apache) - uid=48 (apache) gid=0(apache
Đây là 1 bài về tư duy phân tích , hi vọng sẽ giúp ích cho mọi người về vấn đề trong HACKING....
TMT-VNHGROUP