绕过md5验证继续入侵

    MD5破解不开，我就想到了WinSock Expert抓包修改，因为我记得尘缘雅境这个程序在后台管理员修改密码的时候，并没有让输入原始密码，而默认密码框中是原始密码的MD5值。就是说，如果你修改密码，会提交新的密码，但是需要验证旧的密码的MD5值。现在既然拿到了MD5值，就可以修改密码了，还有一点要注意的是抓报的时候要看清楚包的内容，看看它除了要验证旧密码的MD5值以外，还会验证什么。那么还是下载这个版本，看看后台有什么经过修改可以拿webshell的。在本机上打开iis服务，访问初始化程序的后台页面。后台有个管理员修改密码的地方，我猜想如果程序在修改后台密码的时候如果使用cookies验证方式，那么我们就可以直接提交相映的数据包，如果包中内容符合程序要求，程序就会认为合法，则执行修改管理员密码的代码。下面是我在修改密码的时候抓的数据包（图3）


    主要是想看看修改密码都需要什么信息，需要包中符合哪些内容。我在本机上的iis服务器ip为192.168.32.21，下面是包内容：

---------------------------------------------------------------------------------------

Cookie: ASPSESSIONIDQSTCRBQS=IGCLHDBBPLKKLEAAPKGHCLPH; reglevel=; fullname=%D0%A1%B7%D1; purview=99999; KEY=super; UserName=base; Passwd=279d34fa1dfd71aa



username=base&passwd=22222&passwd2=22222&fullname=%D0%A1%B7%D1&depid=8&oskey=super&shenhe=1&cmdok=+%D0%DE+%B8%C4+

-------------------------------------------------------------------------------------

    下面就是需要验证的Cookie内容

Cookie: ASPSESSIONIDQSTCRBQS=IGCLHDBBPLKKLEAAPKGHCLPH; reglevel=; fullname=%D0%A1%B7%D1; purview=99999; KEY=super; UserName=base; Passwd=279d34fa1dfd71aa

    这些是需要的信息。不需要都看懂，只要知道有username，Passwd，purview，KEY，fullname，这个几个值需要验证，就是让他们符合要求。再看看数据库，它们都在admin表下。也就是说，我现在可以通过注入弄到它们。purview=99999，KEY=super这两个是说明其为超级管理员，不变，最重要的就是剩下的三个值。

    Username=admin, Passwd= 24a2b13f36f9f99c, fullname=doudou(都是通过nbsi工具注入得到的值)[Y4] ，我们就用这些来欺骗。现在包对应的值有了，包内容如果现在提交，就会出现修改成功，这样会把我本机的初始尘缘雅静程序密码改掉。要改的可是他的啊，怎样做到最简便呢？我们知道包内容里面有被修改程序的ip地址，当然也可以改，可是改了以后还要计算并修改包大小值，这样子很麻烦，还不如我们不修改包了。就先欺骗自己的机子，让自己以为自己所架设的服务器ip地址就是域名lovefree.org，然后抓包，再让自己的机子认为lovefree.org又指向原来的地方，那么我们就不用再改动包的内容了。做法很简单。

    要做的是让我自己的电脑认为站点_blank>http://lovefree.org/wenzhang/wenzhang/在我的ip上，而且对应得路径就是我安装的尘缘雅静初始化程序地址。改E:\WINDOWS\system32\drivers\etc\下的hosts文件，加一行:

192.168.32.21 lovefree.org（图4）

    然后设置iis服务器，加上个虚拟目录wenzhang/wenzhang指向尘缘雅境在自己机子上的目录。

上一页  [1] [2] [3] 下一页