菜鸟也能入侵网站(教你入侵兰州商学院)


广告:

   早上回来后打开邮箱,看见一位朋友发来的邮件,说是有个网站拿不下来,需要我帮忙。天啊,我也是菜鸟一个啊!怎么不见有别人来帮帮我啊?不过看在大家是朋友的份上,于是决定竭尽全力帮忙。
    打开他发过来的网站 http://www.lzcc.edu.cn/,原来是“兰州商学院”,是他们那边的一间高校 。于是开始收集信息,大概浏览了5分钟左右,大致上知道了该学院网站的基本情况。该学院有两个主要的二级域名( www1.lzcc.edu.cn和www2.lzcc.edu.cn),应该是指向两台主机。然后再通过不同目录指向不同下属机构的网站。
    这里我们就拿www1.lzcc.edu.cn来测试。于是随便打开一个连接,祭出啊D。一下子就找到了注入点,并爆出了管理员的帐号:romanking和密码的MD5值:9608c633dcb80ec2。马上把MD5扔到 www.xmd5.org,马上就显示出是:99127460。于是开始找后台。但是连续用了“明小子”、“NBSI”、“Webscan”等七八款工具都找不到网站的后台,实在是郁闷。不过后来知道了我测试的连接是ASPX脚本的程序。而这些测试工具基本上没有收集ASPX后缀的后台名。于是我也懒得改后缀了,我就不信只有这条路可以走。
    经过几秒钟的思考后,于是决定从它的建站系统入手 。看了一下我打开的连接http://www1.lzcc.edu.cn/skynews/Index/Catalog46.aspx,其中有个“Skynews”的字样。于是就百度了一下,马上就知道了是“海天人.Net新闻系统”,马上下载回来。
    解压后看了一下(为了节省时间,就直接先找它的一些默认设置),管理页面的地址是http://www1.lzcc.edu.cn/skynews/Admin.aspx,默认的管理员帐号是“admin”,密码是“admin123”。希望管理员不要改密码,最后,很可惜,还是还是发现管理员把密码改了。不过还好的是他没有改登陆页面。于是又试了一下默认的数据库,希望可以得到他的新密码(要知道,这个世上还是有很多管理员懒得改数据库的)。马上在浏览器打开 http://www1.lzcc.edu.cn/skyNews/Database/Global.mdb,看来幸运女神并没有抛弃我,默认数据库没有改(如图1)。

按取消后用迅雷下载。大约用了两分多钟就把数据库下载完了。用“辅臣数据库浏览器”打开。然后再打开“ssUser”表,嘻嘻,所有的用户包括管理员的帐号密码MD5值都出来了(如图2)。

马上放到www.xmd5.org去破解。不过很可惜的是admin用户的密码跑不出来,但是其他几个都跑出来了。
    刚才的注入点暴的不是:romanking吗,这里显示的却是:roman,所以就拿他来测试了。打开登陆页面,登陆名填:roman,密码和刚才暴的一样,也就是:99127460。哈哈,终于进去了。
    原来这个只是“栏目管理员”。不过没关系,我们先来看看有没有上传文件的地方。点击“添加新闻”,看到没有,有个上传图片的地方(图3)。

 

打开来试试能不能上传ASP格式的文件。谁知我刚点击 “上传”就给我弹出了图4的窗口。

看来是本地验证的了。于是马上拿出“WinSock Expert”监听浏览器,然后再将网马的后缀改成:“.jpg”。点击“上传”……上传完后调出“WinSock Expert”。不看不知道,一看吓一跳(图5),

原来是用变量来控制上传文件的类型的,那就不用NC来上传了。马上用浏览器打开 http://www1.lzcc.edu.cn/skynews/UserMSC/UploadSingle.aspx?allowType=gif,jpg,png,bmp,asp,然后选择一个ASP的木马,点击上传。怎么回事,居然提示“文件上传失败,文件类型不允许上传 ”(如图6)。

难道说上传的文件还要再经过服务器验证?如果真的是这样的话那就不能用NC上传了。不过还是先试试用NC上传吧……试了一下,看来真的不行,还是找别的方法吧。
    经过漫无目的地寻找,居然发现了上传的文件的路径是:http://www1.lzcc.edu.cn/skyNews/upload/roman/20070502/17/123.jpg,看到路径中的“roman”没有?而我刚才登陆的用户名正是“roman”。最近网上流传着Windows2003的IIS漏洞,也就是通过把ASP文件改成任意名字,然后放到带“.asp”后缀的文件夹来执行asp文件的方法,那我们能不能通过注册个带有“.asp”的用户,然后来上传我们的木马呢?马上来试试。退出登陆,然后注册个“anhyx.asp”的用户。注册完后马上登陆,可是没想到登陆后居然没有上传页面。没关系,刚才不是用“WinSock Expert”嗅探出了上传页面了吗?在浏览器打开 http://www1.lzcc.edu.cn/skynews/UserMSC/UploadSingle .aspx?allowType=gif,jpg,png,bmp,jpeg,上传一个改了后缀的木马。这里我把木马改成“123.jpg”,由于这里不会回显上传后的路径,所以需要用“WinSock Expert”抓包(一开始我不知道,害得我上传后狂找了半天)。一切准备好后就点击上传。接着调出“WinSock Expert”,找到上传后的路径(图7)。

自己补全地址后打开 http://www1.lzcc.edu.cn/skyNews/upload/anhyx.asp/20070502/17/123.jpg,哈哈,终于成功啦(图8)。

 

登陆上去后,发现全部分区都可以浏览,没有任何的限制。而且他的另外一个二级域名 http://www2.lzcc.edu.cn指向“E:\wwwroot”,而这个http://www1.lzcc.edu.cn则指向“D:\webshare\wwwroot”。
    好了,这次的入侵就到此为止。本文没有什么技术含量 ,只不过是利用了目前网上比较流行的一种入侵方法。另外本文如果有什么不妥的地方,还望大家见谅,并指出。我的论坛ID:暗黑游侠。

发表评论

电子邮件地址不会被公开。