- 挑战链接:http://www.ichunqiu.com/tiaozhan/111
- 知识点:后台弱口令,md5破解,SQL Injection,写一句话木马,敏感信息泄露, 提权,登陆密码破解
这个挑战与“我很简单,请不要欺负我”相比稍难一些,但大同小异,前面的一些思路这里仍然可以用到。但是一定要注意的是,看清楚问题问的是论坛还是网站,不然就呵呵了……
第一个问题问的是“本实验中论坛管理员linhai的密码是?”。首先要看到“论坛”二字,论坛管理员与网站管理员不是一回事哦。不论网站标题还是网站中都出现了“秋潮视觉工作室”的字样,感觉又是个老的CMS啊,拿出谷歌一搜,果不其然,见下图。拿linhai,123456作为账号密码登录一下后台,成功了!
第二个问题是“本实验中论坛可否获得Webshell?”。登录到论坛后台后,尝试寻找能写一句话的地方。图片上传限制的非常严格,不仅限制后缀还会完全改写文件名。也没有能改写网站文件的地方。从目前来看,论坛应该是不能获得Webshell了。
第三个问题是“本实验中SQL Server数据库sa账号的密码是?”。说实话从第二题到第三题感觉跳跃性有点大……从网站的底部可以看见有一个网站后台入口,试了几次弱口令没成功,想想应该不会又是弱口令(否则这挑战邮电无聊……),那看看有没有SQL注入吧。由于网站后台上已经表明了“Asp+Access”,知道是Access数据库,在论坛这边找诸如点(用and 1=1和and 1=2测),毛也没找到……在网站上找,感觉好多地方应该有,然而并没有这么理想……终于,找到了一个注入点,手工瞎猜试试,表名,列名倒是挺好猜的,如下图获得登录名linhai,不过有点碰运气的感觉……
还是用工具爆一下比较靠谱,请出Domain3.6,很快出结果了,见下图,把password解md5得linhai19760812,我是用在线md5解密得到的,如果离线破解的话,可能就要用到社会工程学字典生成器,结合linhai出生在唐山大地震时期(1976年),还有他的邮箱头(torrow0812)来生成字典,然后用MD5Crack2加载字典破解,不过生成字典也是个巧活……
有了账号密码可以登录网站后台了,看看后台都有什么功能。“系统管理”,“数据管理”这两个应该是很重要的功能,“系统管理”中的功能应该会更改网站的文件,而“数据管理”提供了数据库文件的路径(开始我以为数据库文件里会保存sa账号密码呢,结果一看乱码一堆……),猜测这个数据库文件应该也会保存“系统管理”中的配置,于是我们在“系统管理”下的“友情链接管理”功能中写入一句话,见下图。
路径是http://www.test.com/db/bear.asp ,密码为1,菜刀连接!现在我们可以看到该网站的所有文件了,那么问题就来了,怎么找到数据库中sa账户的密码呢?由于自己以前也动手做过简单的网站,通常为了省事就把数据库的口令直接写连接数据库的语句中,这个网站会不会也是这样呢?我们查找网站目录下的文件,发现了conn.asp与conn_old.asp两个可能跟数据库连接相关的文件,分别打开看看,在conn_old.asp中发现了端倪,如下图所示,sa的密码出现了!
接下来便是最后一个问题了,“获取管理目标服务器密码”。已经有菜刀获取的Webshell了,接下来的工作就跟ichunqiu在线挑战—我很简单,请不要欺负我 writeup一样了,提权,获取Administrator用户的密码HASH,然后解密,就能得到密码88hvpebv,提交,OK!