欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

hzhost虛擬主機(jī)系統(tǒng)致命漏洞

互聯(lián)網(wǎng)   發(fā)布時(shí)間:2008-10-08 20:02:01   作者:佚名   我要評(píng)論
編者注:HZHOST虛擬主機(jī)管理系統(tǒng),在國內(nèi)的虛擬主機(jī)應(yīng)用比較廣泛,但是存了這樣的一個(gè)漏洞讓人覺得心驚,也讓整個(gè)虛擬主機(jī)系統(tǒng)淪陷。千里之堤,毀于蟻穴!在此提醒各位網(wǎng)絡(luò)管理員(站長),在做好系統(tǒng)的維護(hù)的同時(shí)也要注意自己使用的web程序是否安全。 昨晚受學(xué)
來看看導(dǎo)入的數(shù)據(jù)是否有利用價(jià)值?



從數(shù)據(jù)庫的表結(jié)構(gòu)可以看出這個(gè)應(yīng)該是虛擬主機(jī)平臺(tái)的用戶數(shù)據(jù)。找了一個(gè)等級(jí)高的破解了Md5密碼。后在網(wǎng)站登陸了下:



現(xiàn)在是管理員了,切換到后臺(tái)看看。這個(gè)就是HZHOST6.5版本后臺(tái)。通過查看客戶資料發(fā)現(xiàn)目標(biāo)站點(diǎn)賬號(hào)密碼。居然還是明文的?。?!數(shù)據(jù)庫密碼也是一樣,下面就是登陸數(shù)據(jù)庫遠(yuǎn)程備份回來或者自己加用戶到論壇后臺(tái)去查其他資料咯。無聊又接著逛了下后臺(tái)的系統(tǒng)設(shè)置,因?yàn)樵瓉硪恢币詾閯偛诺拿艽a是在本機(jī)登陸過FTP都會(huì)出現(xiàn)記錄的。后來本地測(cè)試,發(fā)現(xiàn)不是,疑惑中!結(jié)果在后臺(tái)有了驚人發(fā)現(xiàn),原來是HZHOST的一個(gè)致命漏洞!



在后臺(tái)的任務(wù)計(jì)劃處出現(xiàn)了這個(gè)系統(tǒng)備份的功能。上面的FTP地址、賬號(hào)密碼(星號(hào)部分在剛才備份得到的數(shù)據(jù)庫里查詢到的)和我們前面在sysdbftp.scr這個(gè)文件里讀取到的是一模一樣的,看來系統(tǒng)緩存里的日志文件是因?yàn)镠ZHOST的定時(shí)任務(wù)計(jì)劃生成的。

另外在服務(wù)器管理的進(jìn)程池部分看到了這些,看來剛才的Session記錄也后臺(tái)導(dǎo)致的。



不僅如此,因?yàn)樘摂M主機(jī)程序要對(duì)服務(wù)器進(jìn)行操作(比如添加刪除用戶時(shí)候要遠(yuǎn)程或本地操作IIS和Serv-u等軟件,)所以存在一個(gè)管理密碼和接口,這個(gè)密碼有什么用不需要多說了吧?接下來考慮下怎么拿下這個(gè)虛擬主機(jī)提供商網(wǎng)站權(quán)限看看。

相關(guān)文章

最新評(píng)論