php注射入侵后的再提权

     最显眼的要属用户名和密码了，关键是如何破密码呢？到网上搜了一个专门破SERV-U密码的工具（Serv-UPassCrack1.0a.rar），太慢了，这要等到何年何月啊！干脆用记事本打开它的脚本crack.vbs．看看解密原理：假设原来明文密码用"password_mingwen"表示，密文密码也就是 我们在ServUDaemon.ini中看到的密码（34位），用"password_miwen"表示,密文的前两位合并上明文，然后经MD5加密后正 好等于密文的后三十二位！】

     即：md5（password_mingwen+left(password_miwen,2)=right (password_miwen,32)俗话说的好啊，"工欲善其事，必先利其器"在网上找了两上绝配的工具！一个是MD5CrackSpV2.3(速度 增强版,一个非常好用的MD5爆破工具)，另一个是字典专家.BBSt,利用它我们可以生成前两位为我们指定字母的字典！！MD5CrackSpV2.3 速度奇快,我们可以指定开的线程数,我在P4,256M内存环境下做了一个测试,利用字典专家.BBSt生成一个含3亿条记录,1.2G左右的字典, 用MD5CrackSpV2.3开8线程跑,总共用了30分钟!一个线程一秒钟跑大约2万条记录,8个线程一秒钟,就是16万条记录!!照此计算一台机器 一天就能跑约138亿条记录!假如有十台P4连合作业,威力无穷啊!同时在网上看到消息说山东大学已经研究出来了破解MD5的算法！但是没有找到具体的程序，程序一旦出世,密而不密,恐怕很多网站又要遭殃了!!

     方法二：程序法．

     不要在一棵树上吊死，一边挂着字典爆破，一边看看还有没有别的途径，双 管齐下吗，要不闲着也是闲着（哈哈）！在c:\Program Files\Serv-U\ServUDaemon.ini文件中共有十多位用户，其中有一个的用户目录："d:\s***n\a***lover\ photo\gallery" 吸引了我。立即在浏览器中打上http://www.*****.net/ a***lover/photo/gallery 出现如下提示："This Virtual Directory does not allow contents to be listed"，在试试它的上一级目录看看：http://www.*****.net/ a***lover/photo/真是山重水复疑无路，柳暗花明又一村啊！原来在机子里还藏着个某某网络相册．

    首先注册个用户进去看看，有图片上传功能 啊，抓包看看是否存在有类似动网UPFILE的漏洞，用NC提交后失败了，上传类型还是图片文件，又是那句话："此路不通"。利用CASI查看http: //www.*****.net/ a***lover/photo/index.php的文件内容得知：程序中文名称：文本图片管理程序 程序英文名称：NEATPIC 版本：2.0.13 BETA，老规矩先到网上下个研究研究在说。经过分析目录结构发现在：database/user.php文件用于存放用户名密码等注册信息！用CASI 打开：http://www.*****.net/ a***lover/photo/database/user.php显示无文件内容！难道是默认目录不对？！管理员把目录改了！！看配置文件： http://www.*****.net/ a***lover/photo/inc/config.inc.php发现：

// 参数设置
//*********************************
$DataDir = "database678"; //杂项数据存放目录
$CatDir = "second"; //二级分类数据存放目录
$SortDir = "main"; //分类数据文件存放目录
$PicRecordDir = "picdata"; //图片数据总目录
$PicDir = "pic"; //图片文件存放目录
$SPicDir = "spic"; //缩略图存放目录
$CommentDir = "comment"; //图片评论目录
$UserDat = "user.php"; //用户数据文件
$Dat = "dat.php"; //相册数据文件

果然管理员把默认的database目录改成了database678了！现在可以用CASI查看user.php的内容了如下图：

 

    面的哪一行即ID=1的为管理员的注册信息，第一个为用户名，第二个为密码。发现该用户名与ServUDaemon.ini中的相同，密码会不会也相同呢？ （很多人都有使用同一密码的习惯！！）打开DOS窗口-->登录FTP-->输入用户名和密码，成功了，终于成功了！揪出这个密码可真不容易 啊！！这时字典还在哪挂着来，要跑出这个8位纯字母的密码也要费一段时间啊！！

[1] [2] 下一页