披露51CTO被黑过程：数据安全必须放在第一位

tianzc

习科的小编几乎每天都要处理来自世界各地的各种安全报告，在12月3日的时候习科小编收到一封来自黑客K的Email报告，称自己拿下了国内著名IT技术 站点51CTO，12月5日该黑客还发来了51CTO用户数据(800W+)的网盘地址。据小编了解到，12月5日51CTO确实出现过500无法访问的 状态，震惊之余的小编表示看完报告后更加的震惊，到底是什么情况，我们来了解一下吧。

据了解，51CTO站点有多个数据库，黑客入侵时间早于12月5日，passport库中大约有几十万的数据，比较重要的是ms-ku-00这个服务器的数据库，论坛(800W)以及博客(800W)的数据全都在上面。

黑客附上了入侵过程，并且明确表示51CTO并非未开发的处女地，在他上去之后发现了多枚陈年webshell，对此小编想说，呵呵。

不过能拿下51cto.com小编想说其实纯属是运气好，以下是被小编和谐过的黑客文档，我们先从头看。

Part1

下午的时候，我接了一个做网站的小项目，客户是个服装品牌的老板，希望可以仿照某品牌的网站做一个，于是打开那个品牌站点。搞网站搞多了，习惯性在域名后 面加了个robots.txt，发现居然是phpcms的站，心想把站搞下来改改图片任务不就交差了，于是用了phpcms最新的前台客户post直接获 得webshell的漏洞拿下了目标站点。
拿下以后我缓缓的抽了口烟，很多网站最新的漏洞应该都没打全补丁，本来心想写个利用工具，但是搞站这种事情搞起来就手痒难耐，不搞两个大站下来不会过瘾的，就先搞站再研究工具。

于是Google Hacking，构造关键字：inurl:robots.txt phpcms，得到了1000+个搜索结果，保存列表后，准备挑选目标下手。

Part2

翻了半天我发现www.linkphone.cn这个域名看起来比较牛逼，于是拿他开刀。

首先在域名后面加上

/index.php?m=member&c=index&a=register&siteid=1

先注册了用户(还要验证邮箱)，再访问：

/index.php?m=member&c=index&a=login

登陆前台。在前台找了半天没有发现上传头像的地方，正准备放弃，顺手在网址后面加了

/index.php?m=member&c=index&a=account_manage_avatar&t=1

也就是phpcms默认上传图片的地方，结果出来了上传界面，果断操起burpsuite截包传马。

Part3
首先将浏览器设置成burpsuite的代理：

然后随便选择一张图片上传，点击保存。

这时burpsuite拦截下数据包，将拦截下来的POST包发到repeater中，然后再桌面上新建一个文件夹命名为a，再在a中加一个文件夹b，最后在b中放入php脚本。

我一开始写入的是一句话木马，然后将整个“a”文件夹压缩成zip格式，这时候再到burpsuite中，将拦截下来的post包中原来图片的数据段删除，右键选择“PASTE FROM FILE”选取刚才压缩的“a.zip”。

然后点击go，当response为200时说明已经上传成功，这个时候可以停止burpsuite的拦截，随后我们查看当前头像的地址。

/phpsso_server/uploadfile/avatar/4/10/39468/180*180.jpg

将地址改为：拿

/phpsso_server/uploadfile/avatar/4/10/39468/a/b/1.php

拿出一句话工具菜刀连接，始终提示404错误，这不科学！

Part4

我将一句替换成习科5.1大马放进zip文件以后重复上面步骤发现可以成功上传。

不科学的地方明显不在这里，最不科学的地方是，我随便找了个同服站点查询，居然发现这个站和51CTO同服。

服务器的权限设置不严，我一顿乱翻之后，果然找到了51CTO的目录，打开以后小伙伴们都惊呆了! PS: @__@小编我也惊呆了!

访问后发现51CTO的主站和分站应该都在，但是服务器做了负载均衡，于是多传了几次就顺利拿下51CTO主站了。

Part5

缓缓的吐个烟圈，我发现根目录下的文件很有意思，有个2010年创建的logo.php文件，我表示很好奇，因为通过浏览器访问居然是个百度的logo，而下载回来用文本文档打开，噗。。。是个一句话小马，一句话密码是xy，猜不到是哪个前辈的，总之就是屌爆了。

首先扫了一下webshell，发现还着不少，统计了一下有这样几个：

/logo.php，密码：xy，木马类型：

/download/asus/help.php，密码加密：未知，木马类型：习科大马

/cert/bazs.cert.php 密码：ri，木马类型：phpspy

密码过于简单，也不知道都是哪个前辈的东西，要是知道了，非去She膜Gong拜他一下不可。

然后就找数据库配置，发现这个文件的配置比较全。

/data/www/51cto.com/cms/htdocs/wuyou/config_base_test.php

其中大概有9个数据库的样子。看了一下博客和论坛，在里面也都有配置。

其实每个数据库账户能访问到的数据库不止一个，我是用的SQLyog(attach.blackbap.org/down/sjku/SQLyog.rar)配置了HTTP隧道读取数据库信息，不知道前辈是用的什么工具。

我记得前几年就有人卖51CTO的数据库，记得当时是1块钱/1W条，不知道现在什么价格

Part6

最后吐槽一下51CTO，网站真心做的大，但是安全真心做的差，Web服务器和数据库让你们配置成这样也算得上是奇葩一大坨了。

//BlackBap.Org

Part7 --->>>小编补充

以上节选自黑客K发来的文档，内容有删减。

虽然小编已经将51CTO的数据库密码加了非常强大的密码了，而且保证习科不会将数据库的密码外传，并且已经通知了黑客K，希望他尊重用户隐私不得外泄 51CTO数据库，但是黑客K表示有51CTO最新数据库的并不只有他一个人，数据库早就已经在圈内小范围的流传开来，习科借此提醒大家：请注意修改自己的密码，避免躺枪。

借此提醒各位广大的站点：请对自己的产品负责，对用户的隐私负责。