大家好.我是racle.经常听说LEADBBS比DVBBS体积小,安全性高.尤其是后台管理,让高手都却步.有鉴于此,本人尝试一次攻破LEADBBS权威论坛.并取得WEBSHELL.现在为整个过程写下入侵思路.(由于涉及论坛规模较大,为防止被恶意利用,故隐藏真实地址.)之所以以文本格式写教程,是为了能更好的利于搜索,且观看方便.
一次在上网闲过的过程中,发现一个大型的LEADBBS3.14A版本论坛bbs.aaa.com,大约估计,数据库应该超过500MB.还存在一个www.aaa.com/bbs页面.是他的旧论坛,已经被废弃.
总发帖量:288194 帖 今日帖子:592 帖 昨日帖子:930 帖
上传附件:5532 个 注册用户:31400 人 页浏览量:27489177 次
--------------------------------------------------------------------------------------------------------
(一)下面我们先来尝试默认数据库连接.
bbs.aaa.com/bbs/Data/leadbbs.mdb失败.
bbs.aaa.com/data/Leadbbs.mdb失败.
尝试用minibroser浏览器进行COOKIES欺骗,新注册一个用户名提升至前台,再提升到后台,但是失败告终.COOKIE漏洞已经被补上了.3.14A美化版漏洞,搜索后,不存在.那么尝试寻找bbs.aaa.com/bbs的管理后台页面,失败.看来,管理员已经修改了数据库位置,也修改了管理后台的位置.论坛不允许上传ASP文件.一切似乎都没有希望了...
(二)目标转向:www.aaa.com/bbs.尝试:
www.aaa.com/bbs/Data/LeadBBS.mdb成功.
下载下了www.aaa.com/bbs的数据库,80MB.立刻用辅臣数据库查看器打开,获得管理员密码
xiaoguan 密码 dcf5289cea8e6a002542a043d90a53d9
daguan 密码 4eb7e8ddf94e7697064d9a43f126f22c
zhongguan 密码 c0df7819722c3c453965c01db4d8c9bc
MD5全部破译(听说有人用王小云的MD5碰撞算法写出了一个C#破解器,P43.0号称在一天内破解任何一个MD5,不知道是否存在.我是用网页在暴力破的.)立刻用密码登陆www.aaa.com/bbs.登陆成功.可是3个都是总版主管理页面,没有系统权限...郁闷.管理员帐号可能已经不存在了.
那么尝试用这3个管理员帐号和密码登陆bbs.aaa.com/bbs.希望密码一样.
xiaoguan登陆成功.权限为管理员.可是前台管理却没有把后台管理的连接显示出来.这个管理员没有后台权限..再次郁闷.
(三)事情似乎就已经僵持了.PING一下www.aaa.com/bbs,bbs.aaa.com/bbs,不在同一个服务器上.就算拿了www.aaa.com/bbs的权限也没用.放弃www.aaa.com/bbs.
忽然灵机一动,查查看bbs.aaa.com/bbs服务器上的其他主机看看.试试跨站,他的网站坚固,看看别人的如何.
http://www.webhosting.info.发现有8个主机:
1 1.COM
2 2.COM
3 3.NET
4 LEADBBS.COM
5 5.NET
6 6.COM
7 7.NET
8 8.NET
看到了吧?连权威的LEADBBS.com都在呢..!
逐个检查,发现8.com存在注入漏洞,立刻注入,得到ADMIN帐号密码:小样 84796321.继续扫描后台,发现存在:www.8.com/admin/login.asp.晕...在管理员名称输入"小样",密码后,竟然提示名称为"a-z,0-9,各种符号".oh,my god..猜测user表段,得到450个用户名和密码,其中管理员帐号密码却和ADMIN表段的不一样,不可能..他又不是DVBBS,前后台密码不一样...看来注入的表是虚拟的,骗小黑们的..再次沉思...
(四)停了一天,接着回到他的管理页面,是个什么创丰的后台,忽然想起有个默认的admin admin,尝试!登陆成功!哈哈哈...进入管理后台,在产品管理页面有个上传图片的地方,立刻把加壳的ASP上传,竟然没有过滤脚本,上传成功了!!!哈哈...根据URL,登陆.
www.8.com/upfile/1111.asp
欢迎使用ASPRANI的助手..哈哈..
(五)URL为:w:WEB/8.com/WEB.改为w:WEB/,显示路径未找到,看来阅读权限被限制了,尝试w:WEB/bbs.aaa.com/WEB,登陆成功...哈哈..进去了!终于拿到了bbs.aaa.com webshell了.而且可以读写哦~看一下目录,这才明白,管理后台和数据库的名字和路径都怪得很...猜到老都猜不出来..
(六)好了,现在有LEASBBS的WEBSHELL了,怎么进后台呢?
很简单,先去注册一个用户,譬如hacker.然后找到bbssetup.asp(如果被改名了,也不要紧,首页文件Boards.asp(不光这个,很多很多文件里都会有)
--------------------------------------------------------------------------------
<!-- #include file=inc/BBSsetup.asp --> //这个就是啦
<!-- #include file=inc/User_Setup.ASP -->
<!-- #include file=inc/Board_Popfun.asp -->
--------------------------------------------------------------------------------
然后把bbssetup.asp修改.打开BBSSetup.asp,找到
const DEF_SupervisorUserName = ",Admin,"
将Admin替换为您要使用的管理员名字,注意区分大小写,多个管理员以逗号分隔,前后需要加逗号.比如
const DEF_SupervisorUserName = ",Admin1,hacker,"
如果可以进入后台,在论坛参数设置中也可以更改.
除了IP限制访问外,不管管理员如何限制其它权限(包括未激活),都是可以进入后台的
.OK.现在用hacker登陆.(WEBSHELL都有了,后台地址很好找啦.)"你是最高级别管理员".
哈哈.....终于征服了完美的LEASBBS网站了~
本文攻击性很高..希望大家不要学着进行攻击.同时,我也通知了管理员,请勿再次非法登陆..很危险的..
好了,思路教程到此.
BY:racle
有什么问题可以联系我:cracker_enfr@yahoo.fr
·上一篇: 绕过md5验证继续入侵(图)
·下一篇: 意外成功入侵ASP网站
|
