- 挑戰鏈接:http://www.ichunqiu.com/tiaozhan/111
- 知識點:后台弱口令,md5破解,SQL Injection,寫一句話木馬,敏感信息泄露, 提權,登陸密碼破解
這個挑戰與“我很簡單,請不要欺負我”相比稍難一些,但大同小異,前面的一些思路這里仍然可以用到。但是一定要注意的是,看清楚問題問的是論壇還是網站,不然就呵呵了……
第一個問題問的是“本實驗中論壇管理員linhai的密碼是?”。首先要看到“論壇”二字,論壇管理員與網站管理員不是一回事哦。不論網站標題還是網站中都出現了“秋潮視覺工作室”的字樣,感覺又是個老的CMS啊,拿出谷歌一搜,果不其然,見下圖。拿linhai,123456作為賬號密碼登錄一下后台,成功了!
第二個問題是“本實驗中論壇可否獲得Webshell?”。登錄到論壇后台后,嘗試尋找能寫一句話的地方。圖片上傳限制的非常嚴格,不僅限制后綴還會完全改寫文件名。也沒有能改寫網站文件的地方。從目前來看,論壇應該是不能獲得Webshell了。
第三個問題是“本實驗中SQL Server數據庫sa賬號的密碼是?”。說實話從第二題到第三題感覺跳躍性有點大……從網站的底部可以看見有一個網站后台入口,試了幾次弱口令沒成功,想想應該不會又是弱口令(否則這挑戰郵電無聊……),那看看有沒有SQL注入吧。由於網站后台上已經表明了“Asp+Access”,知道是Access數據庫,在論壇這邊找諸如點(用and 1=1和and 1=2測),毛也沒找到……在網站上找,感覺好多地方應該有,然而並沒有這么理想……終於,找到了一個注入點,手工瞎猜試試,表名,列名倒是挺好猜的,如下圖獲得登錄名linhai,不過有點碰運氣的感覺……
還是用工具爆一下比較靠譜,請出Domain3.6,很快出結果了,見下圖,把password解md5得linhai19760812,我是用在線md5解密得到的,如果離線破解的話,可能就要用到社會工程學字典生成器,結合linhai出生在唐山大地震時期(1976年),還有他的郵箱頭(torrow0812)來生成字典,然后用MD5Crack2加載字典破解,不過生成字典也是個巧活……
有了賬號密碼可以登錄網站后台了,看看后台都有什么功能。“系統管理”,“數據管理”這兩個應該是很重要的功能,“系統管理”中的功能應該會更改網站的文件,而“數據管理”提供了數據庫文件的路徑(開始我以為數據庫文件里會保存sa賬號密碼呢,結果一看亂碼一堆……),猜測這個數據庫文件應該也會保存“系統管理”中的配置,於是我們在“系統管理”下的“友情鏈接管理”功能中寫入一句話,見下圖。
路徑是http://www.test.com/db/bear.asp ,密碼為1,菜刀連接!現在我們可以看到該網站的所有文件了,那么問題就來了,怎么找到數據庫中sa賬戶的密碼呢?由於自己以前也動手做過簡單的網站,通常為了省事就把數據庫的口令直接寫連接數據庫的語句中,這個網站會不會也是這樣呢?我們查找網站目錄下的文件,發現了conn.asp與conn_old.asp兩個可能跟數據庫連接相關的文件,分別打開看看,在conn_old.asp中發現了端倪,如下圖所示,sa的密碼出現了!
接下來便是最后一個問題了,“獲取管理目標服務器密碼”。已經有菜刀獲取的Webshell了,接下來的工作就跟ichunqiu在線挑戰—我很簡單,請不要欺負我 writeup一樣了,提權,獲取Administrator用戶的密碼HASH,然后解密,就能得到密碼88hvpebv,提交,OK!