by:prettysky

以前的女朋友告诉我,她在学校(教务管理系统)报网上选修课的帐号密码丢了,或许是被别人修改了。

***开始:

1;扫描学校所在的整个C类IP段在线的主机。

结果出来了,共有4个存活主机。经过测试得知

211.*.*.3 ->学校网站首页服务器
211.*.*.5 ->图书馆网站服务器
211.*.*.12 ->招生部网站服务器
211.*.*.13 ->财务部网站服务器
211.*.*.21 ->Mail系统+教务管理系统(也就是报网上选修的地方,这就是目标了)服务器

用X-Scan大概扫描了一下没有什么致命的漏洞,我想使用系统漏洞***的时代已经渐渐离我们远去了,现在流行的是脚本***,SQL注入等。

那么让我看一下211.*.*.21有没有可疑的地方,Mail系统我找不到登陆口暂时放弃,教务管理系统大概看了看,系统非常大,但是我没有可用的帐号,只能在门口转悠,里面的世界还都无法看到。我转了半天发现有一个投票接口存在SQL注入,不过可惜的是屏蔽了出错信息,这让我非常烦恼,大家知道投票一般都是限制一个IP只能投票一次来增加结果的真实性。可是这个系统却很搞笑,IP信息竟然是存放在一个Form表单中可以随意修改,设计者这一弱智的举动,仅让我对成功注入产生了极大的信心。不过最终我发现注入失败,似乎限制了查询语句的长度,而这个长度根据观察似乎只有4字节,看来要放弃这个注入点了。

这套教务管理程序从来没有见过,该系统文件命名规则让我很头疼,似乎是用拼音的缩写,我搞不明白,想试图猜解他的一些程序的路径都总是失败。我能访问到的只有很少的一部分程序。

我开始设法搞到这套系统的完整程序包,看一下底部的版权信息:青XX软件有限公司,呵呵直接把网址都给我写上了,Thank you SBAdmin(SBAdmin我发明的单词SB+Admin)。点击链接却迟迟打不开网站,最后返回“该页无法显示”的错误。暂时放弃搞到此系统完整程序包的想法。

我把注意力集中到了学校的网站首页,也就是211.*.*.3这台机器,我打开他的新闻栏目,很简陋的新闻系统,我尝试了一下“upfile.asp”、“upload.asp”、“upload.htm”,呵呵不出所料,存在upload.htm,而且没有验证,任何人都可以上传,我上传个.asp后门试试看,真搞笑提示“文件类型非法!...文件上传完毕!”,真够低能的,既然都检测到文件类型非法了还允许我上传,接下来我得找找我可爱的.asp后门上传到哪里了“upfiles,upfile,uploadfile,upload”等目录都找了,都不存在,看来.asp后门要稍微休息一下了,我想进入后台就该有关于上传目录的设置信息吧,决定试试看。

我很容易就猜到了新闻系统的管理员登录路径/admin,下面看一下有没有SQL注入点,太简单了,一点过滤都没有,经过探测它使用Acsses,这个我不担心,我自己早都写好了一个使用SQL注入自动的猜解密码的程序,输入IP,Port,URL,点击开始,屏幕的字符飞跃,大概是30秒的等待,密码已经搞定了。不过有点令我失望,表面上看来应该是MD5加密后的密码,我尝试了一下登陆,确实无法登陆上,那么拿出我的MD5穷举工具,真正的***技术绝对不是破解密码,而是想办法绕过密码达到目的,所以我只设置了破解8位数内的纯数字密码,管理员真给我面子,大概1分钟,密码出来了“940207”真弱智,登录上去看看,再次失望,找不到上传目录,我搜索了一下,管理员从来没有使用过这个上传系统,所以根据新闻的相关图片来寻找上传文件路径的方法也要放弃了。暂时放弃新闻管理系统。

接着返回网站首页点一下里面的学工部,哈哈,我看到了,它使用一个叫做“Engine WenDay”的整站程序来构建的,Google搜索一下,费了点力气不过还是找到了,我下载了对应的版本开始研究他。“Db\PW_SYS_Data.mdb”是默认数据库路径,让我试试看,哦,天啊,这个管理员竟然没有修改默认数据库,所以我开始下载他的数据库,可是无论我如何尝试,就算是用网络蚂蚁都只能下载到72%。不知道他的IIS怎么了,暂时放弃下载数据库。

SQL注入点一样被我轻易找到,再次猜解密码,OK搞定了,不过密码还是MD5加密的,穷举了8位的数字密码都失败了,这次运气不太好。看了看他的程序,Cookies欺骗也不好办,它使采用Session验证的。

招生的数据库查询也有注入,不过对我来说没用,我需要的是一个WebShell,211.*.*.3被我几乎翻了一遍了,有N处存在SQL注入漏洞,我也猜解出来了N个密码,不过都MD5加密了。而且没有办法上传WebShell。先看看其他机器吧。

其实花点时间根据注入搞定他是肯定没问题的,不过我恰巧没有那么多时间,我要速度。

接着我开始打图书馆的注意,也就是211.*.*.5,图书馆也使用了一套整站程序,不过版权信息修改了,我一时半会无法确定是那套系统,不过这些不重要,重要的是我又找到了SQL注入,再次猜解密码,这次完美,密码MD5加密了,不过根据我的记忆,这应该是“123456”的加密后的代码,尝试验证了我的想法,靠啊,你丫就不知道修改一个复杂的密码?这智商还当管理员。进入了后台,我惊喜地发现有一个上传文件的地方,我先修改设置允许上传.asp,然后上传,结果返回HTTP 500错误,程序出错了,郁闷,到底是哪里错了?或许是磁盘故障吧,恰巧损坏了upfile.asp文件,因为所有文件都无法上传,我很倒霉。不过我相信因为我的出现管理员更倒霉。

让我试试看用这个账号密码登陆211.*.*.3的财务处的那套整站程序,Shit,竟然成功了,我说管理员啊,求求你给我个机会,不要再对安全所无所谓,责任感你懂吗?财务部和图书馆是一样的系统,不过这里的上传可以用,我上传了自己写的.asp WebShell防止杀毒软件警报响起。进去看了看,Fat32文件系统,我可以读取任意文件,打个ipconfig /all命令看看网络情况,呵呵,有意思。这台机器4个IP。

211.*.*.3
211.*.*.5
211.*.*.12
211.*.*.13

看来学校主页,财务部,招生部,图书馆我都已经***了。探测了一下局域网,似乎不存在,这个机器是孤立的。而且我所需要的教务管理系统并不在这台机器上。失望了,白忙活了。

我把之前SQL探测出来的密码汇总做成一个字典,然后开始尝试211.*.*.21的登陆,包括Web管理员入口和FTP,都失败了。

想到教务管理系统的服务器(211.*.*.21)有FTP服务,于是写了个程序端口重绑在了211.*.*.3 的21端口监听FTP的用户密码并记录下来在日后等我来取,或许这两台机器的管理员使用相同的FTP帐号密码也说不定。接着打扫日至退出211.*.*.3 。

接着睡觉……

梦里我看到青XX软件有限公司的网站可以打开了,惊醒后尝试一下果然如此,迫不及待的看一下这套系统,收费2W一套,郁闷这么垃圾的系统也能收这么高的费用?学校的人才都哪里去了?在这里我奉劝大家一句,千万不要在大学报计算机专业啊,你学不到什么东西的。好了回归正体,既然是商业系统我肯定下载不到啦,不过我有更伟大的办法,看我的。

点一下成功案例,看一下购买过他的系统的学校列表,好长一大串子,这个青XX公司发财了。闭上眼睛随便点一个,阿哦,我点了湖南XX大学的网站,在首页中找到了类似的教务管理系统,令我欣慰的是湖南XX大学的教务管理系统和主网站在一个服务器,这意味着我只要***了他的网站服务器就可以轻松的搞到这个系统了。

一个栏目一个栏目的点击,在工会的主页找到了upfile.asp文件,不用登陆可以直接上传,我尝试上传我的WebShell,结果失败,不允许上传.asp文件,试一下有没有类似DVBBS的那种0x00字符结束导致的上传漏洞,我以前写过这个程序的,直接输入URL就可以了,2秒钟提示,上传完毕,这次运气不错直接告诉我了上传后文件的URL。

使用WebShell我找到了那个教务管理系统所在的路径,几百个文件莫非我要一个一个下载?哈哈不必如此,管理员安装了Winrar,Winrar有一个命令行版本的,用命令打包就可以了,等了5分钟打包完毕。197M大呢。Copy到Web目录下载之,速度还不错200K/s。先去休息休息,吃点东西。等下载完了继续。

终于下载好了,迫不及待的解压缩,察看研究这个系统,糟糕的文件命名,没有缩进的代码书写习惯,大小写不分,真是让我郁闷。根据分析这套系统使用MSSQL作数据储存。既然这样那我找找看连接MSSQL的conn.asp文件在哪里,找到了文件名是GetAdminData.dat,.dat文件名让我兴奋,因为可以直接下载,不过看起来里面的内容似乎使用了微软的screnc.exe加密了原代码,我猜测SQL数据库的连接密码一定在这里。没有关系,Google一番找到了解密serenc.exe的工具作者是Codalon,感谢Codalon。解密后果然不出所料,SQL连接密码写在这里。哈哈SoGood.我基本上可以说是已经成功了。

回到211.*.*.21,下载211.*.*.21/xxxx/GetAdminData.dat成功,然后解密成功,最后我找到了211.*.*.21机器上运行的MSSQL的sa用户的密码。用MSSQL的客户段连接上,查询一下朋友的学号对应的密码,搞定了。我想我没有必要提升自身的权限了,因为我已经得到sa用户的密码,而且xp_cmdshell还可以使用,这和Administrator权限有什么区别呢?还是不要浪费时间了,***到此结束。

给管理员桌面上写了一个Txt文件,告诉他存在的漏洞和解决方法,以及一些安全建议,然后清空日至,打扫痕迹,最后点了Exit退出了主机,***到此结束了。

前面真是走了很多弯路。不奢望教育什么,只是记录自己的***过程。

总结:

教育类网站的安全性让人担忧,我是善意***,如果我删除它数据库,修改考生成绩,修改财务信息,那么后果一定很严重,祖国的花朵需要一个安全的网络环境。