无恶意，无破坏，无缘由的XXOO了一下黑色小亮的博客。
目标：www.blackxl.org
信息：博客程序是最新版的WordPress
直接搞目标站肯定是没搞头的了，所以只能跨站了。
查到不少同服务器的站点，当然，有些站点的域名早就已经指向别处了，所以下一步行动之前一定要先ping一下看看是否是目标服务器。
经逐一排查（站挺多的，比较费时间。）在WVS发现http://xxx.com/存在盲注且该站是用Java开发的，于是乎开始注入…

得到管理员帐号和密码（顺利破解），登陆后台（后台地址在网站前台就有链接），呦！这网站后台的UI竟然还用的是ExtJS，打开速度还挺快的啊！我开发过的基于ExtJS系统几乎都是跑在内网的，一直还觉得放在公网，这个JS库很拖速度呢！咳咳…扯远了，咱继续。

从UI使用了ExtJS我就能猜到上传文件功能估计没有过滤（因为以前自己开发的系统也存在这个问题，这个不能说是不能加上这个过滤功能，而是很多开发人员没这个意识。），果不其然，顺利上传jsp马一匹！
该webshell可执行各种命令（当然不是root了，所以别被我说的“各种”蒙着了。）执行：
cat /etc/passwd
得到目标站的物理路径，现在就是想要得到目标站的webshell，但是用MySQL无法导出文件到目标站的任何目录，也不能load_file()读取WordPress的配置文件，显然是MySQL权限不够，不明白是数据库的权限不够呢，还是当前连接数据库的用户权限不够，有点晕。
难道得Linux本地溢出提权？当前服务器的系统信息：
CentOS 5.4 Linux 2.6.18-164.el5 i386
找了几个提权工具，结果都没成功。怎么着？就这么放弃了？别急，咱收集到的信息还没充分利用呢，看下面的端口扫描结果：

这什么sun-answerbook我还真没听说过，访问以下看看：

哦，原来是nginx啊！不过就这么一个页面貌似也没啥可利用的，不过，仔细观察发现：该页面中的/usr/share/nginx/html在/etc/passwd中没有记录。
有点好奇啊，在webshell中跳转过去看看。

唉，貌似还是没啥有价值的，不过别急，咱把这几个文件翻翻看，或许里面会有什么有用信息。

眼睛贼亮的你，在上面这张图上有没有发现什么有用信息呢？MYSQL_PASS注意到了没？用用户名root+这个密码成功登录了MySQL。又试了试load_file()和导出文件，依旧不行。没辙了？放弃吧！
其实，上面兜了个大圈子，前面已经能够用cat读取/etc/passwd，也已经知道目标站的物理路径了，再cat一下目标站的配置文件就能拿到目标站的数据库配置信息了，然后接下来的思路就和拿到MySQL的root的密码一样了。
上面已经说了无法通过数据库导出文件到目标站下的任何目录了，那最后又是如何拿到webshell的呢？这里有两个思路：
1.可以从数据库中查到WordPress管理员的用户名和密码，然后破解密码，登录后台，后面你懂的。但是WordPress的密码不好破啊！！！
2.用现有口令信息猜其它口令，说好听点叫“社工”。
结果俺就用第二个办法，用WordPress配置文件中的数据库用户名和密码成功登录ftp，就这么简单，接下来怎么拿webshell，你懂的。
其实这次XXOO还是有原因的，原因就是：谁叫咱是乡党呢？O(∩_∩)O哈哈~

您可能也喜欢：
2小时入侵了3台服务器	JSP SQL注入攻击防范	WEB服务器与数据库服务器分离情况下的入侵	多思路WEB入侵	入侵比较常用的sql语句
无觅