lostwolf
总之能翻的目录都翻了 除了站点目录能写之外 其他的都不能写
支持 asp.net 可以iisspy 某前辈的(之前是一名it教师 最近不知咋的兜售起空间来)服务器 想找到 sa root 那是不可能的 人家是 教网络的~
通过 iisspy 看到 一个 稍微特殊的web端口 8080 感觉翻进去 发现是 n点 n点之前爆了个致命的 漏洞 相信大家并不陌生,
一次n点虚拟主机提权分析
。但是那个漏洞前提是要弄到n点管理员密码的虽然我没有管理员密码 虽然不进去也能轻松拿到服务器权限 但是我依旧有想进去后台管理的欲望 并且还很强烈。。。 加几个 虚拟空间什么的。。。
由于我能直接 能翻到 n点管理平台 目录 所以我就 修改了个登陆 语句 就进去了。瞎翻了下发现也不是那么好玩(后来提完权 闲着没事 仔细的看了下 发现是可以直接拿服务器权限 并不是像n点官方宣传的那样进了管理页面也不能拿到服务权限。) 我直接用了最管用的办法 下载n点管理平台的数据库。通过数据 顺利 找到 sa 密码 和root 密码。
sa 和root 所在的表hostcs:
密码都是 特殊加密的 不是常见的 如:JATEA@IOCBGMIBHDKCPCJIDNJFFCEF@KDNFMLOOMILHL@E
解密方法 如下:
<%
set iishost=server.CreateObject(“npoint.host”)
x=iishost.Eduserpassword(“JATEA@IOCBGMIBHDKCPCJIDNJFFCEF@KDNFMLOOMILHL@E”,0)
response.write x
%>
将此文件 保存至 n点的 web 目录 任意.asp结尾的 文件 然后访问
Eduserpassword 部分替换为 你需要 解密的密码
有sa 又有root 提权 当然就毫无压力了~~
这个解密语句稍微 看下 相关代码就会理解 为什么
这个是原语句:
if iishost.Eduserpassword(“”&rs(“FTPpass”)&”",0)<>trim(request.Form(“password”)) then
意思是说 将数据库中 加密的字符串 拿来解密 然后再与我们 输入的字符来对比
事实上 不看数据库 后台很多密码框 像sa root 什么的 都是明文的(只是绕了个弯)
默认数据库地址 host_date/%23host%20%23%20date%23.mdb