目標站點是老Y文章管理系統(tǒng)v2.5的。在網(wǎng)上找了下，目前基本上沒有什么可直接利用的漏洞，于是開始旁注
上http://ip.468w.cn/ 查了下。服務器上150個站，用super injection導入全部站點后批量掃描注入點，很快拿到了服務器一個asp的shell,可是權限很低.幾分鐘過后又拿到同服另外的一個.net站的shell，初步看了下，星外的虛擬主機，設置得比較安全，除了當前站點目錄和c:\windows\temp可寫入，找了許久都沒找到一個即可寫也可執(zhí)行的目錄。這樣信息獲取的就比較少了，所幸在注冊表里HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11找到了星外虛擬主機配置信息 mssql sa密碼 (32位md5加密,感謝sht同學幫我查詢收費記錄)


,速度連接上去，
卻沒看到諸如freehost之類的數(shù)據(jù)庫，sa被降權了，mysql 的root密碼也是一樣的可惜也被降權了，都是獨立帳戶啟動的數(shù)據(jù)庫.mssql backupdata時除了temp目錄可寫，其它目錄都不能寫，xp_cmdshell,xp_dirtree,xp_oacreate,等那些存儲過程都不可用，上傳相關dll文件嘗試恢復提示拒絕訪問，不過還可以用xp_subdirs列出d:\freehost的所有子目錄來。但是目標web路徑?jīng)]有用域名這類的作為名稱，花了大半天的時間才找到目標站的路徑。大致方法就是通過whois查到管理員的qq郵箱,再通過搜索qq，找到管理員常用用戶名xxx336，再在列出的子目錄里找到一個xxx336的目錄，exec master..xp_subdirs ‘d:\freehost\xxxx336\web’ 的確老y文章管理系統(tǒng)的目錄結構不過后臺目錄被改了這下也暴露出來了，目前知道后臺地址，web目錄。Qq，常用用戶名，把這些整理成一字典 進行后臺密碼和ftp窮舉，也失敗了。于是想打數(shù)據(jù)庫的主意，老Y文章管理系統(tǒng)的配置文件為/inc/config.asp,的參數(shù)中有數(shù)據(jù)庫路徑，于是在網(wǎng)上相關 mssql讀取文件內(nèi)容的方法，總算是找到了，也許牛牛們早就知道了，但我還是第一次用到，拿出來分享下希望對沒有接觸過的同學有幫助以免走彎路，
用查詢分析器執(zhí)行如下語句
Use xxx120;--(這里是隨便選的一個數(shù)據(jù)庫)
drop table cmd;
create table cmd (a text);
BULK INSERT cmd
FROM 'd:\freehost\xxx336\web\inc\config.asp'
WITH (
FIELDTERMINATOR = '\n',  
ROWTERMINATOR = '\n\n'  
   
)

select * from cmd
這樣就成功讀出了d:\freehost\xxx336\web\inc\config.asp文件的內(nèi)容,很驚訝。


下載數(shù)據(jù)庫后找到管理員表，密碼字符串只有14位,下載了套程序看了下相關代碼Mid(md5(Admin_Pass,32),4,18)，先經(jīng)過32位md5密碼然后從4位開始往后取18位 。密碼不可逆，看到這個就蛋疼了?？戳丝春笈_驗證文件admin_check.asp, 很雞肋cookies欺騙。利用起來很麻煩。于是在下載到的數(shù)據(jù)庫的普通用戶表中查詢和管理員表的里密碼相似的用戶，結果還真找到了個用戶，


由于普通用戶表的密碼是16位md5加密的，把密文拿到cmd5.com很快就查詢出來了明文密碼，用這個密碼嘗試登陸后臺，還真成功了，


拿 shell 就簡單了，后臺有數(shù)據(jù)庫備份功能。至此 大功告成!
過程沒啥技術含量，歡迎大家指點，但不要指指點點。



以下是增加內(nèi)容：
針對論壇上某些朋友提出來的一些疑問很感謝。
用aspxspy從注冊表中讀取出來的md5密碼解出來后 用來嘗試連接sa連接數(shù)據(jù)庫的。算是rp好吧。因為以前遇到過幾次就是樣成功的
至于有了sa還那么曲折 是因為服務器分別有sqlrun和mysqlrun獨立帳戶啟動的數(shù)據(jù)庫服務而不是system.所以權限比默認的小很多，其本上除了web目錄能讀取，temp目錄可寫，存放數(shù)據(jù)庫文章的目錄能寫 其它地方?jīng)]什么權限的，所以備份小馬 oacreate之類的都沒有成功。
另外推薦兩篇文章 希望對大家有幫助
http://www.simple-talk.com/sql/t ... server-using-t-sql/ （在sqlserver中讀寫文件）
http://www.dbjr.com.cn/article/26602.htm    (sqlserver中對入侵有用的相關存儲過程詳解)

最新評論