J2TEAM Security: A must-have extension for Chrome users. Install now!

How to check Clanwong.com?

How to check Clanwong.com? | Juno_okyo's Blog
Có đứa bạn nhờ check site này: http://clanwong.com/

Mã nguồn thì IPB, mà mình thì chưa chơi với mã nguồn này bao giờ cả =.=

Sau khi tìm đủ các dork trên Google để kiếm exp thì ngán. Quay sang phương án Local.

Let's go!




1 - Reverse IP




Có 6 site trên server thì nhìn trong list 2 site chính là victim (nản), check mấy site còn lại thì toàn shop, không SQLi + XSS.

2 - Checking
Không gặp site nào lỗi thì cũng bắt đầu chán server này rồi đấy. Nhưng khoan, khi check site này: http://www.mmphotos.vn/ (shop)

Để ý trên thanh Menu thì có 1 menu "Diễn đàn":





Click vào Diễn đàn thì quá trình redirect diễn ra như sau (=> là redirect):

http://forum.mmbooks.vn/ => http://truyentranhvietnam.vn/ => http://t2vn.vn/content.php


Bá đạo cmnr =.=
Cái link cuối cùng được chuyển tới không thấy trong list reverse IP, tính sao đây? Đang bực vì gặp server chuối, thôi thì gặp cái Diễn đàn thì check nó luôn chứ sao.
Info: Powered by vBulletin® Version 4.2.0
(Cross Site Scripting Exploit)


Nhưng thôi khỏi xss gì cả, nhấn vào Forum cho nó chuyển vào: http://t2vn.vn/forum.php

Ở đây ta thấy:





Mod: ChangUonDyU - Advanced Statistics
Exploit: http://www.exploit-db.com/exploits/22429/


* Khai thác exp:

  • Basic Info: t2vn_demo@localhost : t2vn_demo : 5.0.67-community
  • Khai thác user:



  • Khai thác hash để bypass Admin CP:



3 - Khởi tạo lại phiên làm việc (restore session):
Sử dụng Cookie Manager để khôi phục lại phiên làm việc:




Kết quả:



Hash giúp bypass AdminCP thành công:




Upload shell qua Plugin:




4 - Local victim (Clanwong.com):

Shell của chúng ta sau khi up qua Plugin:


Get user (cat /etc/passwd):



Ta được user của victim là: clanwong


===> Vậy là Diễn đàn này quả nhiên nằm cùng server với victim.

Ngó lại info về server:

  • Safe Mode: OFF
  • Disabled Function: NONE

OK, có vẻ ngon.


Xem cấu trúc path của user:

  • /home/t2vn/domains/t2vn.vn/public_html/

Vậy là server này không theo cấu trúc giống như các server khác (/home/user/public_html/). Ok, follow rule


Thay đổi user và domain của victim xem sao:

  • /home/clanwong/domains/clanwong.com/public_html/

Ồ, ta được:


Ta vào path của Diễn đàn victim /diendan/, và theo như Juno biết thì config của IPB là file: conf_global.php

OK, ta edit file này và được:

 <?php
$INFO['TMofAHide']            =    '1';
$INFO['TMofDay']            =    '1';
$INFO['TMofMonth']            =    '1';
$INFO['TMofWeek']            =    '1';
$INFO['TMofYear']            =    '1';
$INFO['admin_group']            =    '4';
$INFO['allow_creator_vote']            =    '1';
$INFO['allow_dup_email']            =    '0';
$INFO['allow_dynamic_img']            =    '0';
$INFO['allow_flash']            =    '1';
$INFO['allow_images']            =    '1';
$INFO['allow_online_list']            =    '0';
$INFO['allow_result_view']            =    '1';
$INFO['allow_search']            =    '0';
$INFO['allow_skins']            =    '0';
$INFO['au_cutoff']            =    '15';
$INFO['auth_group']            =    '1';
$INFO['autohide_bday']            =    '1';
$INFO['autohide_calendar']            =    '';
$INFO['av_gal_cols']            =    '5';
$INFO['avatar_def']            =    '140x140';
$INFO['avatar_dims']            =    '140x140';
$INFO['avatar_ext']            =    'gif|jpeg|jpg|swf|png';
$INFO['avatar_url']            =    '1';
$INFO['avatars_on']            =    '1';
$INFO['avup_size_max']            =    '20';
$INFO['ban_email']            =    '';
$INFO['ban_ip']            =    '95.79.71.*|95.67.80.*';
$INFO['ban_names']            =    '';
$INFO['base_dir']            =    '/diendan/';
$INFO['board_desc']            =    'Website forums';
$INFO['board_name']            =    '---== Clan Wong in CrossFire  ==---';
$INFO['board_offline']            =    '0';
$INFO['board_start']            =    '1202235024';
$INFO['board_url']            =    '/diendan';
$INFO['boardname']            =    '';
$INFO['bot_antispam']            =    'gd';
$INFO['calendar_limit']            =    '';
$INFO['clock_joined']            =    'j-F y';
$INFO['clock_long']            =    'M j Y, h:i A';
$INFO['clock_short']            =    'jS F Y - h:i A';
$INFO['cookie_domain']            =    'clanwong.com';
$INFO['cookie_id']            =    'j2team_';
$INFO['cookie_path']            =    '';
$INFO['csite_article_chars']            =    '';
$INFO['csite_article_date']            =    'm-j-y H:i';
$INFO['csite_article_forum']            =    '';
$INFO['csite_article_len']            =    '30';
$INFO['csite_article_max']            =    '15';
$INFO['csite_article_recent_max']            =    '5';
$INFO['csite_article_recent_on']            =    '0';
$INFO['csite_configured']            =    '1';
$INFO['csite_discuss_len']            =    '30';
$INFO['csite_discuss_max']            =    '10';
$INFO['csite_discuss_on']            =    '0';
$INFO['csite_fav_show']            =    '0';
$INFO['csite_nav_show']            =    '1';
$INFO['csite_on']            =    '0';
$INFO['csite_online_show']            =    '1';
$INFO['csite_pm_show']            =    '0';
$INFO['csite_poll_show']            =    '0';
$INFO['csite_poll_url']            =    '';
$INFO['csite_search_show']            =    '0';
$INFO['csite_skinchange_show']            =    '0';
$INFO['csite_stats_show']            =    '';
$INFO['csite_title']            =    '';
$INFO['custom_profile_topic']            =    '1';
$INFO['debug_level']            =    '0';
$INFO['disable_admin_anon']            =    '0';
$INFO['disable_gzip']            =    '0';
$INFO['disable_ipbsize']            =    '0';
$INFO['disable_online_ip']            =    '0';
$INFO['disable_reportpost']            =    '0';
$INFO['display_max_posts']            =    '15';
$INFO['display_max_topics']            =    '15';
$INFO['email_footer']            =    '';
$INFO['email_header']            =    'This email generated via IBForums';
$INFO['email_in']            =    '';
$INFO['email_out']            =    '';
$INFO['emo_per_row']            =    '4';
$INFO['etfilter_punct']            =    '0';
$INFO['etfilter_shout']            =    '1';
$INFO['flood_control']            =    '10';
$INFO['force_login']            =    '0';
$INFO['forum_skin_1']            =    '';
$INFO['forum_skin_12']            =    '0';
$INFO['forum_skin_69']            =    '';
$INFO['forum_skin_8']            =    '';
$INFO['gd_font']            =    'fonts';
$INFO['gd_height']            =    '20';
$INFO['gd_width']            =    '30';
$INFO['guest_group']            =    '2';
$INFO['guest_name_pre']            =    'Khách_';
$INFO['guest_name_suf']            =    'Khách_';
$INFO['guests_ava']            =    '0';
$INFO['guests_img']            =    '1';
$INFO['guests_sig']            =    '1';
$INFO['header_redirect']            =    'html';
$INFO['home_name']            =    'Wong Clan';
$INFO['home_url']            =    'www.clanwong.com';
$INFO['hot_topic']            =    '15';
$INFO['html_dir']            =    'html';
$INFO['html_url']            =    'html';
$INFO['img_ext']            =    'gif|jpeg|jpg|png|bmp';
$INFO['index_news_link']            =    '0';
$INFO['installed']            =    '1';
$INFO['items_dir']            =    'items';
$INFO['load_limit']            =    '';
$INFO['mail_method']            =    'mail';
$INFO['match_browser']            =    '0';
$INFO['max_emos']            =    '20';
$INFO['max_h_flash']            =    '400';
$INFO['max_images']            =    '20';
$INFO['max_interest_length']            =    '50000';
$INFO['max_location_length']            =    '50000';
$INFO['max_messages']            =    '50';
$INFO['max_poll_choices']            =    '10';
$INFO['max_post_length']            =    '1000';
$INFO['max_sig_length']            =    '50000';
$INFO['max_w_flash']            =    '400';
$INFO['md_section_close']            =    '0';
$INFO['member_group']            =    '3';
$INFO['min_search_word']            =    '';
$INFO['mod_wwo_clean_stats']            =    '0';
$INFO['mod_wwo_colapsed']            =    '0';
$INFO['mod_wwo_show']            =    '1';
$INFO['mod_wwo_show_topday']            =    '0';
$INFO['mod_wwo_sort_field']            =    'active';
$INFO['mod_wwo_start_mode']            =    'week';
$INFO['mod_wwo_time']            =    '0';
$INFO['mod_wwo_visitors']            =    '1';
$INFO['mod_wwo_visitors_dist']            =    '86400';
$INFO['msg_allow_code']            =    '0';
$INFO['msg_allow_html']            =    '0';
$INFO['new_reg_notify']            =    '0';
$INFO['news_forum_id']            =    '1';
$INFO['no_au_forum']            =    '1';
$INFO['no_au_topic']            =    '1';
$INFO['no_reg']            =    '1';
$INFO['nocache']            =    '1';
$INFO['number_format']            =    'none';
$INFO['off_status_color']            =    '';
$INFO['off_status_image']            =    'Offline.gif';
$INFO['offline_msg']            =    '';
$INFO['on_status_color']            =    '';
$INFO['on_status_image']            =    'Online.gif';
$INFO['photo_ext']            =    'gif|jpg|jpeg|png';
$INFO['php_ext']            =    'php';
$INFO['poll_disable_noreply']            =    '0';
$INFO['poll_tags']            =    '1';
$INFO['portal_activemembers']            =    '0';
$INFO['portal_birthdays']            =    '0';
$INFO['portal_boitinhyeu']            =    '0';
$INFO['portal_calendar_events']            =    '0';
$INFO['portal_danhngon']            =    '0';
$INFO['portal_forums_list']            =    '0';
$INFO['portal_googlebar']            =    '0';
$INFO['portal_latestposts']            =    '0';
$INFO['portal_latestposts_big']            =    '0';
$INFO['portal_loginbox']            =    '0';
$INFO['portal_member_moment']            =    '0';
$INFO['portal_navigation']            =    '0';
$INFO['portal_new_members']            =    '0';
$INFO['portal_newposts']            =    '0';
$INFO['portal_newsforum']            =    '21';
$INFO['portal_newsforum_expert']            =    '1';
$INFO['portal_newsposts']            =    '0';
$INFO['portal_num_latestposts']            =    '5';
$INFO['portal_num_latestposts_big']            =    '5';
$INFO['portal_num_newmembers']            =    '5';
$INFO['portal_num_newposts']            =    '5';
$INFO['portal_num_old_news']            =    '5';
$INFO['portal_num_top_forums']            =    '5';
$INFO['portal_num_topposters']            =    '5';
$INFO['portal_old_news']            =    '0';
$INFO['portal_partner']            =    '0';
$INFO['portal_poll']            =    '0';
$INFO['portal_post_stats']            =    '0';
$INFO['portal_randompic']            =    '0';
$INFO['portal_tease_length']            =    '';
$INFO['portal_tease_news']            =    '0';
$INFO['portal_top_forums']            =    '0';
$INFO['portal_top_posters']            =    '0';
$INFO['portal_tu_dien']            =    '0';
$INFO['portal_welcomepanel']            =    '1';
$INFO['post_order_column']            =    'pid';
$INFO['post_order_sort']            =    'asc';
$INFO['post_titlechange']            =    '50000';
$INFO['post_wordwrap']            =    '';
$INFO['postpage_contents']            =    '5,10,15,20,25,30,35,40';
$INFO['pre_moved']            =    'Đã di chuyển: ';
$INFO['pre_pinned']            =    'Chú ý: ';
$INFO['pre_polls']            =    'Bình chọn: ';
$INFO['print_headers']            =    '0';
$INFO['reg_auth_type']            =    'admin';
$INFO['safe_mode_skins']            =    '0';
$INFO['search_post_cut']            =    '';
$INFO['session_expiration']            =    '84600';
$INFO['short_forum_jump']            =    '0';
$INFO['show_active']            =    '1';
$INFO['show_bday_calendar']            =    '1';
$INFO['show_birthdays']            =    '1';
$INFO['show_calendar']            =    '0';
$INFO['show_img_upload']            =    '1';
$INFO['show_max_msg_list']            =    '50';
$INFO['show_totals']            =    '1';
$INFO['show_user_posted']            =    '1';
$INFO['sig_allow_html']            =    '1';
$INFO['sig_allow_ibc']            =    '1';
$INFO['siu_height']            =    '';
$INFO['siu_thumb']            =    '';
$INFO['siu_width']            =    '';
$INFO['smtp_host']            =    '';
$INFO['smtp_pass']            =    '';
$INFO['smtp_port']            =    '';
$INFO['smtp_user']            =    '';
$INFO['sp_Archive_org']            =    '';
$INFO['sp_google']            =    '';
$INFO['sp_inktomi']            =    '';
$INFO['sp_jeeves']            =    '';
$INFO['sp_lycos']            =    '';
$INFO['sp_wuseek']            =    '';
$INFO['spider_active']            =    '0';
$INFO['spider_anon']            =    '';
$INFO['spider_group']            =    '2';
$INFO['spider_sense']            =    '0';
$INFO['spider_suit']            =    '';
$INFO['spider_visit']            =    '0';
$INFO['sql_database']            =    'sach24com_abc';
$INFO['sql_debug']            =    '0';
$INFO['sql_driver']            =    'mySQL';
$INFO['sql_host']            =    'localhost';
$INFO['sql_pass']            =    '123456';
$INFO['sql_port']            =    '';
$INFO['sql_tbl_prefix']            =    'ibf_';
$INFO['sql_user']            =    'sach24com_abc';
$INFO['start_year']            =    '2008';
$INFO['startpoll_cutoff']            =    '24';
$INFO['status_prefix']            =    '';
$INFO['status_set']            =    '1';
$INFO['status_type']            =    'image';
$INFO['strip_quotes']            =    '0';
$INFO['strip_space_chr']            =    '0';
$INFO['subs_autoprune']            =    '';
$INFO['time_adjust']            =    '';
$INFO['time_offset']            =    '7';
$INFO['topicpage_contents']            =    '5,10,15,20,25,30,35,40';
$INFO['upload_dir']            =    'uploads';
$INFO['upload_url']            =    'uploads';
$INFO['use_mail_form']            =    '1';
$INFO['use_trash']            =    '0';
$INFO['use_trash_forum']            =    '4';
$INFO['use_ttf']            =    '1';
$INFO['validate_day_prune']            =    '';
$INFO['year_limit']            =    '5';

?> 
Nhấn Ctrl + F và tìm: database

Ta được những cái ta cần trong cả đống code trên:


$INFO['sql_database']            =    'sach24com_abc';
$INFO['sql_host']            =    'localhost';
$INFO['sql_pass']            =    '123456';  

(Vãi pass)
OK, giờ connect DataBase:



Nhấn Ctrl + F: tìm thử

  • user: không thấy
  • member: tìm thấy ===> Ta được table chứa user là: ibf_members

Xem table này thì được:

Edit thử 1 user: tìm không thấy field "salt", vậy chắc cách mã hóa khác vBB rồi.

Nhưng thử lấy pass đó Google thì được như này:



Vậy ta được username + password của Admin (té ra IPB chỉ mã hóa md5 =.=):

  • Username: Denniswong
  • Password: 8994347

Link admin của IPB theo mình tìm hiểu là: admin.php


Ta login với info vừa khai thác được, và kết quả:



Đưa cho đứa bạn cái user + pass cho nó nghiên cứu tiếp.
Leader at J2TEAM. Website: https://j2team.dev/

2 nhận xét

  1. a junookyo ơi. em muốn học những thứ này từ anh. có thể nhận đồ đệ k hả anh
  2. :clap: hay
Cảm ơn bạn đã đọc bài viết!

- Bạn có gợi ý hoặc bình luận xin chia sẻ bên dưới.

- Hãy viết tiếng Việt có dấu nếu có thể!