教务管理系统:入侵XXX学校教务管理系统过程记录
疯狂代码 CrazyCoder/ ĵ:http:/CrazyCoder/Security/Article71033.html
by:prettysky
以前女朋友告诉我她在学校(教务管理系统)报网上选修课帐号密码丢了或许是被别人修改了
入侵开始:
1;扫描学校所在整个C类IP段在线主机
结果出来了共有4个存活主机经过测试得知
211.*.*.3 ->学校网站WebSite首页服务器
211.*.*.5 ->图书馆网站WebSite服务器
211.*.*.12 ->招生部网站WebSite服务器
211.*.*.13 ->财务部网站WebSite服务器
asp文件管理系统211.*.*.21 ->Mail系统+教务管理系统(也就是报网上选修地方这就是目标了)服务器
用X-Scan大概扫描了下没有什么致命漏洞我想使用系统漏洞入侵时代已经渐渐离我们远去了现在流行是脚本渗透SQL注入等
那么让我看下211.*.*.21有没有可疑地方Mail系统我不到登陆口暂时放弃教务管理系统大概看了看系统非常大但是我没有可用帐号只能在门口转悠里面世界还都无法看到我转了半天发现有个投票接口存在SQL注入不过可惜是屏蔽了出错信息这让我非常烦恼大家知道投票般都是限制个IP只能投票次来增加结果真实性可是这个系统却很搞笑IP信息竟然是存放在个Form表单中可以随意修改设计者这举动仅让我对成功注入产生了极大信心不过最终我发现注入失败似乎限制了查询语句长度而这个长度根据观察似乎只有4字节看来要放弃这个注入点了
这套教务管理从来没有见过该系统文件命名规则让我很头疼似乎是用拼音缩写我搞不明白想试图猜解他些路径都总是失败我能访问到只有很少部分
我开始设法搞到这套系统完整包看下底部版权信息:青XX软件Software有限公司呵呵直接把网址都给我写上了Thank you SBAdmin(SBAdmin我发明单词SB+Admin)点击链接却迟迟打不开网站WebSite最后返回“该页无法显示”暂时放弃搞到此系统完整包想法
我把注意力集中到了学校网站WebSite首页也就是211.*.*.3这台机器我打开他新闻栏目很简陋新闻系统我尝试了下“upfile.asp”、“upload.asp”、“upload.htm”呵呵不出所料存在upload.htm而且没有验证任何人都可以上传我上传个.asp后门试试看真搞笑提示“文件类型非法!...文件上传完毕!”真够低能既然都检测到文件类型非法了还允许我上传接下来我得我可爱.asp后门上传到哪里了
“upfiles,upfile,uploadfile,upload”等目录都了都不存在看来.asp后门要稍微休息下了我想进入后台就该有有关上传目录设置信息吧决定试试看
我很容易就猜到了新闻系统管理员登录路径/admin下面看下有没有SQL注入点太简单了点过滤都没有经过探测它使用Acsses这个我不担心我自己早都写好了个使用SQL注入自动猜解密码输入IPPortURL点击开始屏幕飞跃大概是30秒等待密码已经搞定了不过有点令我失望表面上看来应该是MD5加密后密码我尝试了下登陆确实无法登陆上那么拿出我MD5穷举工具真正黑客技术绝对不是破解密码而是想办法绕过密码达到目所以我只设置了破解8位数内纯数字密码管理员真给我面子大概1分钟密码出来了“940207”真登录上去看看再次失望不到上传目录我搜索了下管理员从来没有使用过这个上传系统所以根据新闻相关图片来寻上传文件路径思路方法也要放弃了暂时放弃新闻管理系统
接着返回网站WebSite首页点下里面学工部哈哈我看到了它使用个叫做“Engine WenDay”整站来构建Google搜索下费了点力气不过还是到了我下载了对应版本开始研究他“Db\PW_SYS_Data.mdb”是默
认数据库路径让我试试看哦天啊这个管理员竟然没有修改默认数据库所以我开始下载他数据库可是无论我如何尝试就算是用网络蚂蚁都只能下载到72%不知道他IIS如何了暂时放弃下载数据库
SQL注入点样被我轻易到再次猜解密码OK搞定了不过密码还是MD5加密穷举了8位数字密码都失败了这次运气不太好看了看他Cookies欺骗也不好办它使采用Session验证
招生数据库查询也有注入不过对我来说没用我需要是个WebShell211.*.*.3被我几乎翻了遍了有N处存在SQL注入漏洞我也猜解出来了N个密码不过都MD5加密了而且没有办法上传WebShell先看看其他机器吧
其实花点时间根据注入搞定他是肯定没问题不过我恰巧没有那么多时间我要速度
接着我开始打图书馆注意也就是211.*.*.5图书馆也使用了套整站不过版权信息修改了我时半会无法确定是那套系统不过这些不重要重要是我又到了SQL注入再次猜解密码这次完美密码MD5加密了不过根据我记忆这应该是“123456”加密后代码尝试验证了我想法靠啊你丫就不知道修改个复杂密码?这智商还当管理员进入了后台我惊喜地发现有个上传文件地方我先修改设置允许上传.asp然后上传结果返回HTTP 500出错了郁闷到底是哪里错了?或许是磁盘故障吧恰巧损坏了upfile.asp文件所有文件都无法上传我很倒霉不过我相信我出现管理员更倒霉
让我试试看用这个账号密码登陆211.*.*.3财务处那套整站Shit竟然成功了我说管理员啊求求你给我个机会不要
再对安全所无所谓责任感你懂吗?财务部和图书馆是样系统不过这里上传可以用我上传了自己写.asp WebShell防止杀毒软件Software警报响起进去看了看Fat32文件系统我可以读取任意文件打个ipconfig /all命令看看网络情况呵呵有意思这台机器4个IP
211.*.*.3
211.*.*.5
211.*.*.12
211.*.*.13
看来学校主页财务部招生部图书馆我都已经入侵了探测了下局域网似乎不存在这个机器是孤立而且我所需要教务管理系统并不在这台机器上失望了白忙活了
我把的前SQL探测出来密码汇总做成个字典然后开始尝试211.*.*.21登陆包括Web管理员入口和FTP都失败了
想到教务管理系统服务器(211.*.*.21)有FTP服务于是写了个端口重绑在了211.*.*.3 21端口监听FTP用户密码并记录下来在日后等我来取或许这两台机器管理员使用相同FTP帐号密码也说不定接着打扫日至退出211.*.*.3
接着睡觉……
梦里我看到青XX软件Software有限WebSite可以打开了惊醒后尝试下果然如此迫不及待看下这套系统收费2W套郁闷这么垃圾系统也能收这么高费用?学校人才都哪里去了?在这里我奉劝大家句千万不要在大学报计算机专业啊你学不到什么东西好了回归正体既然是商业系统我肯定下载不到啦不过我有更伟大办法看我
点下成功案例看下购买过他系统学校列表好长大串子这个青XX公司发财了闭上眼睛随便点个阿哦我点了湖南XX大学网站WebSite在首页中到了类似教务管理系统令我欣慰是湖南XX大学教务管理系统和主网站WebSite在个服务器这意味着我只要入侵了他网站WebSite服务器就可以轻松搞到这个系统了
个栏目个栏目点击在工会主页到了upfile.asp文件不用登陆可以直接上传我尝试上传我WebShell结果失败不允许上传.asp文件试下有没有类似DVBBS那种0x00结束导致上传漏洞我以前写过这个直接输入URL就可以了
2秒钟提示上传完毕这次运气不错直接告诉我了上传后文件URL
使用WebShell我到了那个教务管理系统所在路径几百个文件莫非我要个个下载?哈哈不必如此管理员安装了WinrarWinrar有个命令行版本用命令打包就可以了等了5分钟打包完毕197M大呢Copy到Web目录下载的速度还不错200K/s先去休息休息吃点东西等下载完了继续
终于下载好了迫不及待解压缩察看研究这个系统糟糕文件命名没有缩进代码书写习惯大小写不分真是让我郁闷
根据分析这套系统使用MSSQL作数据储存既然这样那我看连接MSSQLconn.asp文件在哪里到了文件名是GetAdminData.dat.dat文件名让我兴奋可以直接下载不过看起来里面内容似乎使用了微软加密了原代码我猜测SQL数据库连接密码定在这里没有关系Google番到了解密工具作者是Codalon感谢Codalon解密后果然不出所料SQL连接密码写在这里哈哈SoGood.我基本上可以说是已经成功了
回到211.*.*.21下载211.*.*.21/xxxx/GetAdminData.dat成功然后解密成功最后我到了211.*.*.21机器上运行MSSQLsa用户密码用MSSQL客户段连接上查询下朋友学号对应密码搞定了我想我没有必要提升自身权限了我已经得到sa用户密码而且xp_cmdshell还可以使用这和Administrator权限有什么区别呢?还是不要浪费时间了入侵到此结束
给管理员桌面上写了个Txt文件告诉他存在漏洞和解决思路方法以及些安全建议然后清空日至打扫痕迹
最后点了Exit退出了主机入侵到此结束了
前面真是走了很多弯路不奢望教育什么只是记录自己入侵过程
整理总结:
教育类网站WebSite安全性让人担忧我是善意入侵如果我删除它数据库修改考生成绩修改财务信息那么后果定很严重祖国花朵需要个安全网络环境
上篇文章: cawanSQL ;Injection做数据库渗透种思路perl实现
下篇文章: 搭建防线 ;无“招”胜有“招”
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论