原文来自Tracy'Blog——http://www.purpleroc.com

       上网时，突然有人找我说要破解一软件，看了下，是俊亚的一款收费软件。

       用OD跟踪了个把小时，没有实质性的进展，不过，也大概知道了验证的思路，改了些地方，想暴力破解掉，可发现没那么简单，于是，暂时休息休息。知道它用的是网络验证，那么，服务端在哪呢？

       换工具，对程序抓包，找到url（http://xxxxx.fsjyrj.com/gdy/hld_query.asp）后，去看了下,返回的是一大堆组合数字，也就是说，程序需要解密这个返回的数据来进行判断从而验证。另外，在注册码错误的时候，弹出如下对话框。


       可在程序中是没有这些个字符的，开始猜测可能是以unicode存放在程序中的，可看到那一大堆组合的数字之后，觉得，返回的这些个信息应该也是从服务端传递过来的。于是再用OD下recvfrom断点，跟踪了一下，证实了我的猜想。

       回头看看那个url，一级级的目录进行浏览，结果发现，http://xxxxx.fsjyrj.com/gdy直接弹出网站后台登陆界面了，然后再打开http://xxxxx.fsjyrj.com。看到一个设计的挺精美的网站，不过，一看就知道是个展示页面，并没有任何的实质性内容，也就是说，用的是一个跟自己软件验证毫无关系的网站作为显示。

       回到登陆界面，

找到的唯一有用的信息是“梦幻账号管理系统”，百度谷歌一番，没任何收获，于是，回到那个设计精美的页面，找到一些关键词，搜了下，把源代码下下来，结果发现，整个网站，就只有几个html页面。于是，从网站端下手，有点困难了。就先放放吧。改天再看。

       第二天再次打开网址，发现页面换了，页面换了也就是说换了一套展示的系统。看了下，是网趣网上购物系统。于是立马网上down下源代码。心想才放上去的网站，肯定登陆用户名密码都没改的，网站后接admin，用默认的admin/admin，直接就进去了。

       然后，破解的思路就是：拿下网站，找到验证的asp程序，改掉，在本地搭建服务器，本地hosts文件中添加一条记录，使网站指向127.0.0.1。

于是，提权吧。后台转悠了半天，没发现啥可用的，于是，来分析下几个上传文件的地方的源代码。



       可以看出，只允许上传几种常见的图片文件，而如果发现了asp等网页文件后缀的字符串，则直接清除掉再存放文件。于是，试了下构造特定的asaspp等后缀上传，结果发现还是不能直接上传webshell。

       后来，想了下一些博客，常用的都有一个database备份的页面，而且，不会放在菜单栏上。于是，找了找，发现，这套系统也有一个backdata.asp的文件。

       直接访问，发现能够实现对特定的文件进行备份。

       可以看出，我们把webshell改成jpg的后缀，上传得到返回地址，而后再用这个备份功能，把文件备份为asp格式，就可以得到我们的webshell了。

       可是，我们做完这一些之后访问url得到一个404错误。那，问题在哪呢？

哦，从这里可以看出我们输入的文件名，不是文件名，而是一个文件夹名。而我们要备份的那个jpg文件，会保存到我们输入的文件夹名下的shop.mdb。

瞬间，想到的就是iis的解析漏洞，输入1.asp作为文件夹，然后访问：xxxx.xxxx.com/1.asp/shop.mdb。能够直接把shop.mdb中的内容以asp格式访问。

就这样，小马可以使用了，再把大马放上去~~~

行，就写到这把，好几个月前的事了，只是一个思路的记录。也没环境去截那么多图了。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)