上http://ip.468w.cn/ 查了下。服务器上150个站,用super injection导入全部站点后批量扫描注入点,很快拿到了服务器一个asp的shell,可是权限很低.几分钟过后又拿到同服另外的一个.net站的 shell,初步看了下,星外的虚拟主机,设置得比较安全,除了当前站点目录和c:\windows\temp可写入,找了许久都没找到一个即可写也可执 行的目录。这样信息获取的就比较少了,所幸在注册表里HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT \INSTALLFREEADMIN\11找到了星外虚拟主机配置信息 mssql sa密码 (32位md5加密,感谢sht同学帮我查询收费记录)
却没看到诸如freehost之类的数据库,sa被降权了,mysql 的root密码也是一样的可惜也被降权了,都是独立帐户启动的数据库.mssql backupdata时除了temp目录可写,其它目录都不能写,xp_cmdshell,xp_dirtree,xp_oacreate,等那些存储过 程都不可用,上传相关dll文件尝试恢复提示拒绝访问,不过还可以用xp_subdirs列出d:\freehost的所有子目录来。但是目标web路径 没有用域名这类的作为名称,花了大半天的时间才找到目标站的路径。大致方法就是通过whois查到管理员的qq邮箱,再通过搜索qq,找到管理员常用用户 名xxx336,再在列出的子目录里找到一个xxx336的目录,exec master..xp_subdirs ‘d:\freehost\xxxx336\web’ 的确老y文章管理系统的目录结构不过后台目录被改了这下也暴露出来了,目前知道后台地址,web目录。Qq,常用用户名,把这些整理成一字典 进行后台密码和ftp穷举,也失败了。于是想打数据库的主意,老Y文章管理系统的配置文件为/inc/config.asp,的参数中有数据库路径,于是 在网上相关 mssql读取文件内容的方法,总算是找到了,也许牛牛们早就知道了,但我还是第一次用到,拿出来分享下希望对没有接触过的同学有帮助以免走弯路,
用查询分析器执行如下语句
Use xxx120;–(这里是随便选的一个数据库) drop table cmd; create table cmd (a text); BULK INSERT cmd FROM ‘d:\freehost\xxx336\web\inc\config.asp’ WITH ( FIELDTERMINATOR = ‘\n’, ROWTERMINATOR = ‘\n\n’ ) select * from cmd 这样就成功读出了d:\freehost\xxx336\web\inc\config.asp文件的内容,很惊讶。
下载数据库后找到管理员表,密码字符串只有14位,下载了套程序看了下相关代码Mid(md5(Admin_Pass,32),4,18),先经过32位 md5密码然后从4位开始往后取18位 。密码不可逆,看到这个就蛋疼了。看了看后台验证文件admin_check.asp, 很鸡肋cookies欺骗。利用起来很麻烦。于是在下载到的数据库的普通用户表中查询和管理员表的里密码相似的用户,结果还真找到了个用户,
由于普通用户表的密码是16位md5加密的,把密文拿到cmd5.com很快就查询出来了明文密码,用这个密码尝试登陆后台,还真成功了,
拿 shell 就简单了,后台有数据库备份功能。至此 大功告成!
本文转自 ☆★ 黑白前线 ★☆ – www.hackline.net 转载请注明出处,侵权必究!