萬盛學電腦網

 萬盛學電腦網 >> 健康知識 >> 繞過md5驗證繼續入侵

繞過md5驗證繼續入侵

·小心被黑客借QQ Mail入侵你的電腦·只開80端口主機的入侵思路·防止入侵:DLL後門完全清除方法·防范非法用戶入侵Win 2K/XP系統七招·入侵xp系統之初步攻略·怎麼關閉受到的入侵端口·Windows 2000安全審核讓入侵者無處遁形·妙招防止非法入侵Win2000/XP系統·再談SQL注入入侵動網SQL版論壇·小心系統入侵之八招吸星大法!

很多大俠都是通過查看程序的源代碼發現漏洞的。但是由於我才剛開始學ASP,所以還沒有達到這種境界。雖然搜索漏洞不方便,但偏偏一些程序就讓被我找出來點東西。自從以前看了個"動網upfile漏洞利用動畫",我對抓包修改有了初步了解。當時就感覺用途不只是上傳那麼簡單。於是愛死了WinSock Expert,經常有事沒事拿著他分析下提交的數據包。往往在不經意間,有很大的收獲。最近就用它發現了幾個安全漏洞。圖1是筆者以前侵入過的一個站點。據說那次事件過後,該網已經開始重視Web安全了。這次我抱著幫他檢測漏洞的心態,瞧瞧能不能再侵入並放個頁面上去。該網站使用的是沸騰3AS流浪塵緣新聞系統(核心:塵緣雅境圖文系統)V0.45 ACCESS版build 1程序。

(點擊查看原圖)

大家都知道塵緣雅境有個漏洞Uploadfaceok.asp可以上傳ASP木馬。管理員似乎知道這裡有問題。默認數據庫地址也不在。轉來轉去,感覺這個站點有點讓人摸不著頭腦了,就好像有人故意在留後門一樣,這個版本的塵緣新聞系統本來不應該存在漏洞的,51自學網,但是在浏覽信息的時候卻發現他用的是ReadNews1.asp 這個文件,並沒有用原來的ReadNews.asp,很奇怪,隨手輸入一個',竟然存在注入漏洞,明顯沒有過濾。?NewsID=173是個注入點[Y2] (圖2), 但是將文件名改為readnews.asp?newsid=173卻被過濾了。而站點首頁又顯示的是readnews1.asp,很可能是管理員修改過文件的什麼地方,由於不懂注入漏洞,所以看不出來那段防止注入的代碼含義,最後不小心把原來用來防止注入的部分取掉了。就是說塵緣雅境系統本來不存在這個注入點,現在卻被無意中制造了一個。注入之後得到的密碼,也就是數據庫中的密碼值是MD5加密過的,這個"地球人都知道"。 MD5破解不開,我就想到了WinSock Expert抓包修改,因為我記得塵緣雅境這個程序在後台管理員修改密碼的時候,並沒有讓輸入原始密碼,而默認密碼框中是原始密碼的MD5值。就是說,如果你修改密碼,會提交新的密碼,但是需要驗證舊的密碼的MD5值。現在既然拿到了MD5值,就可以修改密碼了,還有一點要注意的是抓報的時候要看清楚包的內容,看看它除了要驗證舊密碼的MD5值以外,還會驗證什麼。那麼還是下載這個版本,看看後台有什麼經過修改可以拿webshell的。在本機上打開iis服務,訪問初始化程序的後台頁面。後台有個管理員修改密碼的地方,我猜想如果程序在修改後台密碼的時候如果使用cookies驗證方式,那麼我們就可以直接提交相映的數據包,如果包中內容符合程序要求,程序就會認為合法,則執行修改管理員密碼的代碼。下面是我在修改密碼的時候抓的數據包(圖3)

主要是想看看修改密碼都需要什麼信息,需要包中符合哪些內容。我在本機上的iis服務器ip為192.168.32.21,下面是包內容:---------------------------------------------------------------------------------------Cookie: ASPSESSIONIDQSTCRBQS=IGCLHDBBPLKKLEAAPKGHCLPH; reglevel=; fullname=小費; purview=99999; KEY=super; UserName=base; Passwd=279d34fa1dfd71aausername=base&passwd=22222&passwd2=22222&fullname=小費&depid=8&oskey=super&shenhe=1&cmdok= 修 改 -------------------------------------------------------------------------------------下面就是需要驗證的Cookie內容 Cookie: ASPSESSIONIDQSTCRBQS=IGCLHDBBPLKKLEAAPKGHCLPH; reglevel=; fullname=小費; purview=99999; KEY=super; UserName=base; Passwd=279d34fa1dfd71aa這些是需要的信息。不需要都看懂,只要知道有username,Passwd,purview,KEY,fullname,這個幾個值需要驗證,就是讓他們符合要求。再看看數據庫,它們都在admin表下。也就是說,我現在可以通過注入弄到它們。purview=99999,KEY=super這兩個是說明其為超級管理員,不變,最重要的就是剩下的三個值。Username=admin, Passwd= 24a2b13f36f9f99c, fullname=doudou(都是通過nbsi工具注入得到的值)[Y4] ,我們就用這些來欺騙。現在包對應的值有了,包內容如果現在提交,就會出現修改成功,這樣會把我本機的初始塵緣雅靜程序密碼改掉。要改的可是他的啊,怎樣做到最簡便呢?我們知道包內容裡面有被修改程序的ip地址,當然也可以改,可是改了以後還要計算並修改包大小值,這樣子很麻煩,還不如我們不修改包了。就先欺騙自己的機子,讓自己以為自己所架設的服務器ip地址就是域名lovefree.org,然後抓包,再讓自己的機子認為lovefree.org又指向原來的地方,那麼我們就不用再改動包的內容了。做法很簡單。要做的是讓我自己的電腦認為站點_blank>在我的ip上,而且對應得路徑就是我安裝的塵緣雅靜初始化程序地址。改E:\WINDOWS\system32\drivers\etc\下的hosts文件,加一行:192.168.32.21 lovefree.org(圖4)

然後設置iis服務器,加上個虛擬目錄wenzhang/wenzhang指向塵緣雅境在自己機子上的目錄。好了,現在在浏覽器上輸入就是我的機子上的初始的塵緣雅境了,(圖5)

這樣的目的是抓到的包等一下可以直接提交給真實的服務器一樣(可以在後台改,fullname是管理員的全名)。" target=http://lovefree.org/wenzhang/wenzhang地址,不需要修改包的大小,而為了保證大小一樣,在我們機子上的username=admin,fullname=doudou,也設置的和遠程服務器一樣(可以在後台改,fullname是管理員的全名)。一切就緒,現在開始再抓一次修改密碼的包,為了方便起見我已經把管理員信息改為username=admin,fullname=doudou了,剩下包裡需要修改的信息,就是md5的密碼值,因為md5加密後都是16位的,不影響包大小。---------------------------------------------------------------------------------------POST /admin/saveedit.asp?id=1 HTTP/1.1Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/x-shockwave-flash, */*Referer: _blank>?id=1Accept-Language: zh-cnContent-Type: application/x-www-form-urlencodedAccept-Encoding: gzip, deflateUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR 1.1.4322)Host: : 110Connection: Keep-AliveCache-Control: no-cache(下面是coocike驗證內容)Cookie: NB796459377Vote1=1; ASPSESSIONIDQSTCRBQS=MGCLHDBBGDELLJGJGJHGKBML; reglevel=; fullname=doudou; KEY=super; UserName=admin; purview=99999; Passwd=24a2b13f36f9f99c(下面是修改信息)username=admin&passwd=abend&passwd2=abend&fullname=doudou&depid=10&oskey=super&shenhe=1&cmdok= 修 改 ---------------------------------------------------------------------------------------看到了,包和真的一樣!簡直就像從他的服務器上抓來的。這樣我們要改的,就只有passwd的md5值了,就是說,只要這個也匹配,真正的lovefree.org服務器就會認可。改為24a2b13f36f9f99c就是注入得到的密碼md5值。現在把host文件的內容改回來,改回來之後,再輸入域名lovefree.org就是打開真實地址了。用nc提交(圖6)

哈哈!恭喜您!您的資料已經修改成功! 2秒鐘後返回上頁!現在密碼就是abend。用它來登錄後台,到網站屬性改"上傳文件類型:"多加一個asp,就可以上傳asp木馬。就針對塵緣雅境來說,雖然大家可能沒我那麼幸運,剛好有個readnews1.asp文件沒加過濾,但是如果不小心拿到了數據庫,也不至於看著md5發愁了吧?其實還有很多程序都存在這樣的問題,如果你拿到了某站管理員的md5值,不妨用這種方法試一下,也許有很大收獲!

copyright © 萬盛學電腦網 all rights reserved