从数据库密码到社会工程学

在一次渗透测试中，发现目标网站（子域名）的数据库密码疑似"姓名英文缩写+手机号码"组合，

因此决定扩大攻击的范围，于是有了这篇文章。

 

目标网站：test.test.com

在这里我直接上传2.php读取目标的数据库账号密码

文中涉及敏感信息均用Test代替

获取数据库权限后尝试登录后台，原本我以为后台的账号密码是admin+数据库密码，

结果发现登录不上，提示密码错误，去看数据表才知道用户名是Test。

得出第一组账号：Test | 密码：数据库密码（目标网站后台账号密码）

前面已经说过渗透的目标是子域名，拿下子域名的后台把目标转到了主站，也就是www.test.com

直接找主站的后台尝试第一组密码，直接就登录进去了，用的是WordPress搭建。

登录界面的背景图小知识：

在前段时间我用业余时间学习了全国各省份的人文历史和地理文化，

由于山东省在全国的GDP排行榜（2020年）中排行第三，我就有具体了解到山东省，

能够一眼看出图中由海边向海面延伸的景点是山东省青岛市的著名景点：栈道。

拿下主站后想到应该还会有其他资产，对域名www.test.com进行域名解析，

这里用到的网站工具是域名解析：https://site.ip138.com/

解析后发现有一个网盘系统：wd.test.com

注意下图的红色箭头标注处：访问请登录1 根据以往经验应该有一个用户的账号密码都是1

首先尝试使用账号密码1登录，结果不出我所预料，成功登录。

继续尝试使用第一组的账号密码登录网盘系统，同样登录成功，不过多了一个管理面板。

这个应该只是一套普通的开源网盘系统，尝试添加php和php4扩展直接上传一句话木马，很显然失败了，

上传后会自动重命名为Test.php.txt 这里就不抓包分析上传包了......

然后我想到既然这个网盘的文件是直接保存在服务器上，那是不是可以直接访问下载呢？

答案是可以的，这个应该算是一个漏洞了，假如说在Test目录保存了一个Password.txt文件，

攻击者是直接能够利用工具扫描到这个文件并且浏览下载的，如下图所示：

这仅仅还不够，于是我又翻了翻网盘的管理面板，发现有三个用户。

在这里我们又获取了两个有效用户名,分别是126邮箱和QQ邮箱，将其组合：

第二组账号：126邮箱

         密码：数据库密码

第三组账号：QQ邮箱

         密码：数据库密码

这里我们可以直接联想到QQ邮箱和QQ是通用的，盲猜数据库密码就是QQ密码。

直接上图，尝试登录QQ客户端和QQ邮箱网页版：

提示均需要验证，不过没关系，正常情况下网易邮箱登录并不用安全验证。

直接使用第二组账号密码组合登录网易126邮箱，登录成功。

虽然没有登录验证，但是会马上收到两封异（地）国登录的邮件提醒，但是为了隐蔽，可以把这两封邮件删了。

前面已经说过了数据库密码中包含手机号码，

我有时候听音乐是直接在网易云音乐的网页端登录账号，因此知道网易云音乐可以直接使用手机号码和密码进行登录。

“又是网易背锅，没有安全验证的帐户就是一盘散沙”。但其实这倒是为了方便多端使用，而没有增加有些“多余”的验证。

在网易账号安全中心可以看到绑定着微信A张先生2020，和数据库密码的前缀英文首字母缩写完美吻合。

其他的不再深入测试，其实很多平台都使用同一个密码是网络冲浪人的通病，这是无可厚非的，我也是。

—— “一个安全问题的质量在于你可以使用它来实现怎样的威胁。”