首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>入侵实例>文章内容
hzhost虚拟主机系统致命漏洞
来源:it168 作者:陆羽 发布时间:2008-08-25  
昨晚受学校老师委托,调查某人资料(是因为在学校BBS上乱发东西所以受到追查),老师给的ID是zszs11和lymft。这个2个ID看着都很随意,由于以前是也曾今得到过这个BBS权限所以管理员同志希望我协助维护,所以也给了我一个管理ID,不过太久没上已经被删除了。于是乎没办法上后台进行操作查询用户信息,前台查询到的信息太少。zszs11注册邮箱是zszs11@***.com,lymft则是lymft126@**Z*.com两个人同样因为回复了一个标题为“我们法律系居然有这样的败类…”的帖子而删除记录,帖子也不在了,所以没办法继续追查,但是猜测这2个ID都是马甲,但是没有确凿的证据就无法乱下定论,于是就有了下面的一次检测过程。

    检测环境:
    服务器:IIS6.0 (无服务器漏洞)
    虚拟主机平台:HzHost
    FTP:Serv-u6.4  (因为目录不存在访问权限所以没利用价值)
    端口开放情况:
    127.0.0.1:21.........开放
    127.0.0.1:1433.........开放 (Mssql) 很开心有这个…
    127.0.0.1:3306.........开放 (Mysql)
    127.0.0.1:3389.........开放
    127.0.0.1:5631.........关闭
    127.0.0.1:8080.........开放
    127.0.0.1:43958.........关闭 (再次说明没利用价值)
    前面旁注得到一个普通Asp+Access站点的过程这里就不详细说明了,主要讲后面深入渗透和获取权限个过程和思路。

    虚拟主机权限设置的非常死,连信息都无法查看。

   尝试跳转其他目录提示:


 
    典型的虚拟主机,大部分人在这里就卡住放弃了。其实一开始我也是这个想法,可是是在是太无聊了,所以到处乱翻,结果让我不小心发现一个很严重的问题。在C:\windows\Temp目录下居然存放了好多服务器IIS 进程池Session记录,还有一个更莫名其妙的文件Sysdbftp.scr(看名字和数据库还有FTP有关,不知道是干嘛的?)


 
    于是把这些记录下载到本地查看。

    用Notepad2的替换功能把这个日志整理下。


    (这里使用”;”来判断是否换行,基本网页脚本语法..选择使用转义字符并在替换为输入”\n;” 这里的\n 是转义字符换行的意思)惊现  “qwer1234”!!!经常完破解密码的人看到这个应该很熟悉,因为这个是一个常用密码…而且上面还有一个Phpmyadmin(Mysql管理程序),那么这个密码应该就是一个Mysql的管理密码了,上面看到了MYSQL配置文件Config.default.php于是猜想密码是Root的。
 
    不过很可惜,因为Mysql的root权限是不允许外部登陆的,所以选择放弃了。(相信很多人在入侵Mysql+php的网站的时候有一个困惑,得到账号密码,却无法连接数据库,或者不知道服务器上Phpmyadmin的地址吧?通过这个日志记录我们就轻易的找到地址了。)

    接下来看看那个可疑的Sysdbftp.scr。

    使用上面的账号密码顺利登陆到服务器

    不过很可惜上面的网站和目标站点不是一个服务器,是独立的备份服务器。上面的Bak文件不知道是什么,下载来本地看看,最近玩多了Mssql,所以看到这个觉得应该是数据库的备份文件。于是用工具导入本地数据库看看。

    提示恢复成功了!看来证明我的猜测是正确的。来看看导入的数据是否有利用价值?


 
    从数据库的表结构可以看出这个应该是虚拟主机平台的用户数据。找了一个等级高的破解了Md5密码。后在网站登陆了下:

 

    现在是管理员了,切换到后台看看。这个就是HZHOST6.5版本后台。通过查看客户资料发现目标站点账号密码。居然还是明文的!!!数据库密码也是一样,下面就是登陆数据库远程备份回来或者自己加用户到论坛后台去查其他资料咯。无聊又接着逛了下后台的系统设置,因为原来一直以为刚才的密码是在本机登陆过FTP都会出现记录的。后来本地测试,发现不是,疑惑中!结果在后台有了惊人发现,原来是HZHOST的一个致命漏洞!

    在后台的任务计划处出现了这个系统备份的功能。上面的FTP地址、账号密码(星号部分在刚才备份得到的数据库里查询到的)和我们前面在sysdbftp.scr这个文件里读取到的是一模一样的,看来系统缓存里的日志文件是因为HZHOST的定时任务计划生成的。

    另外在服务器管理的进程池部分看到了这些,看来刚才的Session记录也后台导致的。

    不仅如此,因为虚拟主机程序要对服务器进行操作(比如添加删除用户时候要远程或本地操作IIS和Serv-u等软件,)所以存在一个管理密码和接口,这个密码有什么用不需要多说了吧?接下来考虑下怎么拿下这个虚拟主机提供商网站权限看看。

    因为后台保存的只是其他注册网站的FTP和数据库密码,所以不对这个虚拟主机程序本身存在操作权限密码的保存记录,前面经过漫长的资料收集过程(在完成整个渗透过程的时候当然没有我上面介绍的思路这么简单,我还通过社工手段搜集了网站管理员和公司员工的好多资料),但是最终放弃了使用社工。因为太浪费时间了。虽然社工确实很强大,但是非必要的时候还是不用的。


 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·另类网站入侵之一句话木马图片的
·0day批量拿站webshell,挖掘机是
·利用ewebeditor 5.5 - 6.0 鸡肋
·OmniPeek抓包的一点看法
·强大的嗅探工具ettercap使用教程
·Windows系统密码破解全攻略
·破解禁止SSID广播
·XSS偷取密码Cookies通用脚本
·XSS漏洞基本攻击代码
·Intel 3945ABG用OmniPeek 4.1抓
·KesionCMS V7.0科汛内容网站管理
·破解无线过滤MAC
  相关文章
·饶过Xplog70.dll玩入侵
·又一个猥琐的技巧:Surf Jacking
·拿下DVBBS php官网
·dfcms后台拿webshell,只谈思路
·教你两句话 动网8.20的后台被拿
·从CSDN 漏洞谈.NET 安全开发
·渗透某知名游戏代理商内网全程
·提權整理貼
·经过中国黑客鉴定,中国乳业网站
·跨站脚本漏洞导致的浏览器劫持攻
·OmniPeek抓包的一点看法
·破解无线过滤MAC
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved