危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18982291

与XX酒店的小型战斗

一、帮出来的小挑战

话说危险漫步那天很是无聊,正好有个朋友在QQ群上求助,说是有一个目标站有好多注入点,能够扫描出数据库和用户列名但猜解不出密码列。本着共同提高技术的原则,建议他可以去找一下对方的后台登录地址,然后通过查看源代码的方式来找一下密码的列名。但没过一会儿,他又回复说找不到后台,怎么办呢?

二、猜后台

既然伸手帮忙了,就要帮到底啊。我先是在浏览器中打开目标网站看了下,是金XX酒店,貌似漂亮但却存在着N多的标准注入点,拿下这样的系统应该不成问题。接着将一个注入点粘贴到明小子中检测一番,果然扫描出三个数据库,选择“adminuser”后进行列名的猜解时只得到了“adminusername”而没有对应的密码列。

扫一下管理入口,找不到任何刻录;换用啊D,也没有结果。怎么办?理论上讲是可以通过手工构造数据库查询语句来猜解的,不过我想直接来猜一猜这个后台。

明小子和啊D之所以扫描不出管理人口,其实不是工具的运行问题,关键是所携带的字典中没有对应的记录。我使用的明小子是2009.10.14的3,6版,它的后台地址字典只有94条记录:啊D是2.32无限制版,后台也是类似的几十条记录,大多都是些admin、login和manage之类的。我先是试着将带有该网站招牌的缩写jql与常见的后台登录地址进行结合猜解,没找到;然后又将下划线加入其中,也没猜解出来:后来在其域名之后添加“webmaster/admin_login.asp”尝试访问时,后台终于出现在眼前。马上查看其源代码,账号的列名是“AdminUserName”  (已经用明小子扫描出),密码的列名是“AdminPassWords”。当然,即使是找不到这个网站的后台地址,根据账号的列名“AdminUserName”也可以来直接尝试猜解“AdminPassWord”和“AdminPassWords”的。

三、我再猜猜MD5密码

这下就好办了,将“AdminPassWords”添加到明小子的“列名”中,开始进行记录的猜解,几分钟之后就有了结果:共有7条记录,其中疑似管理员的账号是“jqLadmin”,其MD5密码是“67ad7ab130c0798031efb6d62cce2fa9”。懒得破解,直接丢给了那个朋友,谁知没等自己的懒腰伸直,朋友就回复说无法破解。我到在线破解MD5密码的网站试了下,有的说无法破解,有的说是收费,晕!

虽然囊中羞涩,但我的韧性还是有的,我再猜!既然这个账号叫“jqladmin”,那么我就把它进行MD5加密运算,看看得到的32位MD5密码是不是“67ad7ab130c079803 lefb6d62cce2fa9”。结果让人失望,第一次猜解失败了。接着我又试了下“jqladmin888”、“jqladmin123”和“jqladmin666”等若干个常见的“吉利”号,都不对号。我再试、再试、再试……后来在试到“adminjql”时(admin+酒店名),成功了!哈哈,就知道你跑来跑去也不会离这个太远!OK,拿这个登录,成功进入了对方的管理界面,任务完成了。

四、一个取巧的方法

貌似这个小小的友情检测就完成了,不过我总觉得有些意犹未尽。如果明小子的字典文件足够强大的话,是不是就不用费这些工夫去猜解后台地址了?是不是该升级一下工具了?上网一番搜索,结果找到了个明小子的4.3版,一查,后台地址记录是4939个,太给力了!虽然之前的任务已经完成了,但何不再用这个4.3版的明小子来尝试猜解一下这个目标网站的后台呢?几分钟之后结果出来了,后台仍然未找到,看来“webmaster/admin_login.asp”记录并不在其后台数据库中。不过,我意外地得到了一个链接。根据名称,这很可能是该网站整个系统的备份压缩包!

试想一下,如果一开始就用明小子4.3来扫描目标网站后台,然后通过网站备份压缩包来得到数据库,不就可以直接拿到管理员账号和明文密码来登录网站后台了吗?因为后台登录文件放在里面的一个文件夹里,不用猜解就可以根据名称直接访问,是不是可以给这场战争省下不少事呢?

相关推荐