天使死于爱

版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://jafe188.yourblog.org/logs/635104.html

以前的女朋友告诉我，她在学校（教务管理系统）报网上选修课的帐号密码丢了，或许是被别人修改了。 入侵开始： 1；扫描学校所在的整个C类IP段在线的主机。 结果出来了，共有4个存活主机。经过测试得知 211.*.*.3 ->学校网站首页服务器 211.*.*.5 ->图书馆网站服务器 211.*.*.12 ->招生部网站服务器 211.*.*.13 ->财务部网站服务器 211.*.*.21 ->Mail系统+教务管理系统（也就是报网上选修的地方，这就是目标了）服务器 用X-Scan大概扫描了一下没有什么致命的漏洞，我想使用系统漏洞入侵的时代已经渐渐离我们远去了，现在流行的是脚本渗透，SQL注入等。 那么让我看一下211.*.*.21有没有可疑的地方，Mail系统我找不到登陆口暂时放弃，教务管理系统大概看了看，系统非常大，但是我没有可用的帐号，只能在门口转悠，里面的世界还都无法看到。我转了半天发现有一个投票接口存在SQL注入，不过可惜的是屏蔽了出错信息，这让我非常烦恼，大家知道投票一般都是限制一个IP只能投票一次来增加结果的真实性。可是这个系统却很搞笑，IP信息竟然是存放在一个Form表单中可以随意修改，设计者这一弱智的举动，仅让我对成功注入产生了极大的信心。不过最终我发现注入失败，似乎限制了查询语句的长度，而这个长度根据观察似乎只有4字节，看来要放弃这个注入点了。 这套教务管理程序从来没有见过，该系统文件命名规则让我很头疼，似乎是用拼音的缩写，我搞不明白，想试图猜解他的一些程序的路径都总是失败。我能访问到的只有很少的一部分程序。 我开始设法搞到这套系统的完整程序包，看一下底部的版权信息：青XX软件有限公司，呵呵直接把网址都给我写上了，Thank you SBAdmin（SBAdmin我发明的单词SB+Admin）。点击链接却迟迟打不开网站，最后返回“该页无法显示”的错误。暂时放弃搞到此系统完整程序包的想法。 我把注意力集中到了学校的网站首页，也就是211.*.*.3这台机器，我打开他的新闻栏目，很简陋的新闻系统，我尝试了一下“upfile.asp”、“upload.asp”、“upload.htm”，呵呵不出所料，存在upload.htm，而且没有验证，任何人都可以上传，我上传个.asp后门试试看，真搞笑提示“文件类型非法！...文件上传完毕！”，真够低能的，既然都检测到文件类型非法了还允许我上传，接下来我得找找我可爱的.asp后门上传到哪里了“upfiles,upfile,uploadfile,upload”等目录都找了，都不存在，看来.asp后门要稍微休息一下了，我想进入后台就该有关于上传目录的设置信息吧，决定试试看。 我很容易就猜到了新闻系统的管理员登录路径/admin，下面看一下有没有SQL注入点，太简单了，一点过滤都没有，经过探测它使用Acsses，这个我不担心，我自己早都写好了一个使用SQL注入自动的猜解密码的程序，输入IP，Port，URL，点击开始，屏幕的字符飞跃，大概是30秒的等待，密码已经搞定了。不过有点令我失望，表面上看来应该是MD5加密后的密码，我尝试了一下登陆，确实无法登陆上，那么拿出我的MD5穷举工具，真正的黑客技术绝对不是破解密码，而是想办法绕过密码达到目的，所以我只设置了破解8位数内的纯数字密码，管理员真给我面子，大概1分钟，密码出来了“940207”真弱智，登录上去看看，再次失望，找不到上传目录，我搜索了一下，管理员从来没有使用过这个上传系统，所以根据新闻的相关图片来寻找上传文件路径的方法也要放弃了。暂时放弃新闻管理系统。 接着返回网站首页点一下里面的学工部，哈哈，我看到了，它使用一个叫做“Engine WenDay”的整站程序来构建的，Google搜索一下，费了点力气不过还是找到了，我下载了对应的版本开始研究他。“Db\PW_SYS_Data.mdb”是默认数据库路径，让我试试看，哦，天啊，这个管理员竟然没有修改默认数据库，所以我开始下载他的数据库，可是无论我如何尝试，就算是用网络蚂蚁都只能下载到72%。不知道他的IIS怎么了，暂时放弃下载数据库。 SQL注入点一样被我轻易找到，再次猜解密码，OK搞定了，不过密码还是MD5加密的，穷举了8位的数字密码都失败了，这次运气不太好。看了看他的程序，Cookies欺骗也不好办，它使采用Session验证的。 招生的数据库查询也有注入，不过对我来说没用，我需要的是一个WebShell，211.*.*.3被我几乎翻了一遍了，有N处存在SQL注入漏洞，我也猜解出来了N个密码，不过都MD5加密了。而且没有办法上传WebShell。先看看其他机器吧。 其实花点时间根据注入搞定他是肯定没问题的，不过我恰巧没有那么多时间，我要速度。 接着我开始打图书馆的注意，也就是211.*.*.5，图书馆也使用了一套整站程序，不过版权信息修改了，我一时半会无法确定是那套系统，不过这些不重要，重要的是我又找到了SQL注入，再次猜解密码，这次完美，密码MD5加密了，不过根据我的记忆，这应该是“123456”的加密后的代码，尝试验证了我的想法，靠啊，你丫就不知道修改一个复杂的密码？这智商还当管理员。进入了后台，我惊喜地发现有一个上传文件的地方，我先修改设置允许上传.asp，然后上传，结果返回HTTP 500错误，程序出错了，郁闷，到底是哪里错了？或许是磁