域名劫持原理与实践

这里我们先使用burpsuite对该站点进行目录扫描。

1、配置好IE代理，截取数据包。

2、右键send to spider。

 

发现存在phpmyadmin。如果未出现请单击Filter将Hide empty folders(隐藏空文件夹)的勾去掉。

 

 然后在地址栏添加phpmyadmin

 

 

接下来对phpmyadmin进行暴力破解，随便输入一个用户名和密码，比如此处我输入：用户名：root 密码：123，页面提示错误，然后查看burpsuite截获到的数据包

 

找到Authorization，选中Basic后边的字符串，进行如下步骤：右键convert selection->base64->base64-decode

 

 

可以看到刚才输入的用户名和密码

 

 

 

右键send to intruder，在Positions选项卡下单击clear$。

 

 

选中root:123，单击add$。

 

 

切换到payloads选项卡下，设置payload type，在add处添加用户名，separator for position1 处添加一个冒号

 

 

加载桌面上一个密码字典pass.txt

 

 

配置payload processing

 

 

单击intruder下的start attack，一段时间后，发现了一个length和其他的不同。

 

 

双击打开，复制红色区域的字符串

 

 

粘贴在decoder下，选择decode as base64，可以看到用户名密码为root:1234567890，登录

 

 

接下来需要知道网站的路径是什么，一般网站搭建好后都会存在info.php，phpinfo.php，php_info.php等测试文件，一一访问下，发现存在phpinfo.php文件，并得知网站目录为C:/xampp/xampp/htdocs。

 

 

此时需要通过phpmyadmin拿这个站点的shell，选择SQL

执行成功，访问下http://mail.test.com/test.php

 

 

 

发现返回空白页面，接下来用中国菜刀连接一

 

 

重启下dns服务，输入命令：net stop named和net start named，回车

 

 

刷新 http://mail.test.com，发现劫持成功。页面会显示为：“欢迎来到合天网安实验室!”