和朋友LLIKZ研究了一下BBSXP论坛,发现它有几个地方存在注入漏洞,为此专门写了一个工具,一好友美其名日BBSXP完全版。说完全,其实并不完全,有些功能还没来的及加,就先这样叫着吧!
首先工具的使用要满足两条件:
一、论坛存在blog.asp这个文件。
二、在blog.asp这个文件后面加上参数id=1 或id=2存在网络日志。更具体点说5.13,5.15两个版本非常合适(最有名的BBSXP论坛都被搞定过噢^_^)。
接下来结合具体实例给大家讲解一下工具如何使用。我们在百度或Google中搜索Powered by BBSxp 5.15会搜到很多站点!根据它的版权提示这个地方我们可以看判断它是什么版本的,如Powered by BBSxp 5.15/Licence则它是以Access为数据库的,以后简称Access版;如Powered by BBSxp 5.15 SQL/Licence则它是以Mssql为数据库的,以后简称Mssql版。如图1所示:
网址如上图所示,别忘了blog.asp后面还带有参数!级别:5代表社区区长,4代表管理员(斑主,普通用户也有代号,因获得他们密码无多大用处,故没加入)用户名填入要爆的人的用户名就可以了。通常都打开http://www.***.cn/bbs/adminlist.asp管理团队的页面,查看社区区长和管理员的信息。只有在爆某一用户的密码时,级别和用户名才填入,如爆后台密码这两个输入框是不用填写的。点击后台密码如图2所示:后台密码就出来,能不能爆出来就看你运气了
点用户密码如图3所示,管理员webmaster的密码就出来了
如果你运气好的话,爆出后台密码,进入后台以后,可以通过两种方法上传SHELL,一可以通过修改论坛的设置,在上传类型里填加上asa这样就可以上传asa的木马了。二可以通过背份数据库的方法,提前在论坛上传jpg图片附件,然后在后台把它背份成后缀名为asa的shell。(注:默认数据库是http://www.***.com/bbs/database/bbsxp.mdb有时候也能用的上噢!)
接下来说说如何对SQL版的进行上传SHELL,要饭的曾写了一个工具直接修改上传类型,然而工具一发布现在有很多的论坛都已经关了这一功能!如图4所示:
网址输入与图4类似http://www.***.com/bbsxp/blog.asp?id=1,用过NBSI的朋友都对特征码有一定的了解吧,我们输入网址http://www.***.com/bbsxp/blog.asp?id=1 and 1=1 和http://www.***.com/bbsxp/blog.asp?id=1 and 1=2 对比两个页面的不同之处,来提取特征码。有了网址和特征码,点一下“后台密码”按钮,喝杯荼一会儿密码就跑出来了(因为是32位密码,在这里设置一变量j,当跑出4位密码时会给你一个提示,如图4所示当看到j=1 是密码全部跑出,如果你运气好或很有时间也可以跑一下,下面介绍如何不跑密码来上传SHELL)如何来社区区长或管理员的密码呢?这可是关键啊!进入管理团队的页面http://www.lyxh.com/bbsxp/adminlist.asp 我们随便找一个用户,查看它的详细资料,如果他是社区区长的话,你在用户级别是填入5,如果是管理员就填入4,登录次数和删除原贴这两个输入框主要目的是用来定位是哪一位用户的,如果只填入一个数字就可以确定这个用户,最好不填入两个,当然全填也可以!如图4所示填好以后就可以按“用户密码”按钮来爆用户密码了!
有了社区区长或管理员的密码我们就可以通过来执行SQL语句控制整个论坛的数据库了!(当然也可以挂马了)如图5所示:
MSSQL版__执行SQL语句功能部分:网址如图5所示
http://www.***.com/bbsxp/manage.asp 贴子id可以输入论坛上任何一个贴子的id,SQL语句:update [user] set membercode=5 where username='awhy'(我把我注册的用户awhy改成了社区区长,注:如果你的用户名是中文名请在最后多加一个单引号如username='勇哥儿'')MD5密码:输入上面我们爆出来的用户密码,区长或管理员:输入对映MD5密码的用户。点击执行后如果你看到“恭喜终于成功”提示框表示语句执行成功!同时在ACCESS版的密码返回框中,返回SQL语句执行后的网页返回信息,有助于排除错误!执行SQL语句:
update [user] set usermail=(select adminpassword from [clubconfig]) where username='awhy'(把后台密码放入我的个人资料EMAIL里)执行以上两个语句后如图6所示,awhy已成了社区区长,EMAIL已改成了后台的密码
把后台密码换成我注册的用户名awhy的密码:update [clubconfig] set adminpassword=(select userpass from [user] where username='awhy')现在我们就可以利用我的密码登录后台http://www.lyxh.com/bbsxp/admin.asp了,进入“设置管理”à“社区基本管理”打开上传功能,加入上传类型asa如图7所示
这样我们就可以发表新帖上传自己的后缀名为asa的SHELL了!!先不要忙着高兴先来清理清理战场:
1、 关闭后台上传功能,改回原来允许上传文件的类型。
2、 还原后台原来密码update [clubconfig] set adminpassword=(select usermail from [user] where username='awhy')
3、 删除掉进入后台的日志delete from [log] where username='awhy'
4、 删除掉在论坛注册的用户delete from [user] where username='awhy'
至于得到SHELL如何进一步,这里就不多讲了,闪人噢!还有什么好的方法希望高手指教
最后说两句,希望firefox大哥还有其他火狐的斑竹能够提供文章里的这款工具!得感谢象勇哥这样踊跃在网上共享文章的牛人!
致敬! |
安全中国首页 > 文章中心 > Bbsxp注入文章