那么我们怎么找到哪一台是数据库服务器呢？朋友血印也在一起搞，他扫了一下这个网段，没有开1433的服务器，这就增加了难度，难道1433真的不能对外连接，那么这个读出来的mssql帐号和密码对我们没有什么用处了，就算社会工程学一下都很难。

还有一个oblog的注入，但这个注入有点恼火，因为是一个user_logzip_

file.asp文件里面的如下语句没有做过滤：
sdate=request("selecty")&"-"&request("selectm")&"-"&request("selectd")
edate=request("selectey")&"-"&request("selectem")&"-"&request("selected")
只得手动提交参数给这个文件，但这个文件里又有一个<!--#include file="user_chkpass.asp"-->头文件作了如下判断：
ComeUrl=lcase(trim(request.ServerVariables("HTTP_REFERER")))
if ComeUrl="" then
response.write "<br><p align=center><font color='red'>对不起，为了系统安全，不允许直接输入地址访问本系统的后台管理页面。</font></p>"
看来ie是没办法的了，只有上firfox，利用插件截取表单和提交表单了。如图：

但导出来的txt文本都是一般用户的垃圾信息，管理员的字段改了，还过滤了一些字符。本来想暴管理员的密码出来，可现在字段又被改了，更恼火的是字符被过滤得差不多，搞了半天也没有弄到啥。

可现在一想，就算拿到管理员密码又有什么用？密码虽和dvbbs论坛的密码可能是用的一个库，但应该是md5加密的，如果不是用的一个库，那么进了 oblog拿webshell也不容易，更何况这个注入点还被过滤了字符。这么大的站不能困死在这一个地方，到其它地方看看，还有那么多的分站没有分析。

想完便到分站上去转了转，可一圈下来还是无奈，分站全是生成的静态页面，看样子分站的程序都是自己写的，查看了静态页面的源代码，是用的asp，试了几个链接也没有用。也许是习惯问题吧，试试google来查找注入了，既然是自己写的程序，难免会出一点差错，其实这里还有一个经验问题，在遇到大站都是静态页面的话通过google来查找注入点是很有效的。

根据我的习惯，打开啊d，这时候当然用软件来检测最快了，输入google.com 点高级，先择每页显示100条，再按google语法输入“site:xxxx.us asp”，site:后面不要跟www，因为还要搜索它二级域名的注入点，所以直接跟xxxx.us，运气不错，在第一页中就搜出来一个注入点，仅有的一个注入点，好难得，还是game.xxx.us域名上的。还好，是 db_owner权限，还可以列目录，真幸运，如图：

这就是我们常常在入侵过程中要寻找的突破点，这就是一个典型的突破点。
通过差异备份获得一句话马，再上传大马，还好权限不是设得很严，再加上上面装了个serv-u，直接用serv-u加个用户试试，居然提权成功，我在想这个管理员应该是中国的，里面还在卖游戏点卡，郁闷。

3389是开开的，为了安全起见，我从先关掉韩国的vpn，因为我的习惯一般在拿站的时候上vpn的，好处多多，速度也要快不少。然后登上台湾的3389肉机，再在肉机上连接数据库服务器的3389上去看看。如图：

上图是在台湾3389上面登到美国服务器上的，有点乱，我们打开mssql企业管理器，清楚的看到sqlbbs这个库，我们想到什么了，dvbbs数据库就在这个服务器上，很幸运，看了一下设置情况果然是内网连接的。对于dvbbs我们国内的朋友搞多了就知道，只要拿到管理员密码就很好搞了。但打开数据库 dv_admin表里面的密码是md5加密的，我索性把这个密码记下来，再改成自己的md5加密的密码，速战速决嘛。

上一页  [1] [2] [3] 下一页