-
-
[原创]非常规破解网络验证
-
发表于: 2013-10-8 15:26
-
原文来自Tracy'Blog——http://www.purpleroc.com
上网时,突然有人找我说要破解一软件,看了下,是俊亚的一款收费软件。
用OD跟踪了个把小时,没有实质性的进展,不过,也大概知道了验证的思路,改了些地方,想暴力破解掉,可发现没那么简单,于是,暂时休息休息。知道它用的是网络验证,那么,服务端在哪呢?
换工具,对程序抓包,找到url(http://xxxxx.fsjyrj.com/gdy/hld_query.asp)后,去看了下,返回的是一大堆组合数字,也就是说,程序需要解密这个返回的数据来进行判断从而验证。另外,在注册码错误的时候,弹出如下对话框。
可在程序中是没有这些个字符的,开始猜测可能是以unicode存放在程序中的,可看到那一大堆组合的数字之后,觉得,返回的这些个信息应该也是从服务端传递过来的。于是再用OD下recvfrom断点,跟踪了一下,证实了我的猜想。
回头看看那个url,一级级的目录进行浏览,结果发现,http://xxxxx.fsjyrj.com/gdy直接弹出网站后台登陆界面了,然后再打开http://xxxxx.fsjyrj.com。看到一个设计的挺精美的网站,不过,一看就知道是个展示页面,并没有任何的实质性内容,也就是说,用的是一个跟自己软件验证毫无关系的网站作为显示。
回到登陆界面,
找到的唯一有用的信息是“梦幻账号管理系统”,百度谷歌一番,没任何收获,于是,回到那个设计精美的页面,找到一些关键词,搜了下,把源代码下下来,结果发现,整个网站,就只有几个html页面。于是,从网站端下手,有点困难了。就先放放吧。改天再看。
第二天再次打开网址,发现页面换了,页面换了也就是说换了一套展示的系统。看了下,是网趣网上购物系统。于是立马网上down下源代码。心想才放上去的网站,肯定登陆用户名密码都没改的,网站后接admin,用默认的admin/admin,直接就进去了。
然后,破解的思路就是:拿下网站,找到验证的asp程序,改掉,在本地搭建服务器,本地hosts文件中添加一条记录,使网站指向127.0.0.1。
于是,提权吧。后台转悠了半天,没发现啥可用的,于是,来分析下几个上传文件的地方的源代码。
可以看出,只允许上传几种常见的图片文件,而如果发现了asp等网页文件后缀的字符串,则直接清除掉再存放文件。于是,试了下构造特定的asaspp等后缀上传,结果发现还是不能直接上传webshell。
后来,想了下一些博客,常用的都有一个database备份的页面,而且,不会放在菜单栏上。于是,找了找,发现,这套系统也有一个backdata.asp的文件。
直接访问,发现能够实现对特定的文件进行备份。
可以看出,我们把webshell改成jpg的后缀,上传得到返回地址,而后再用这个备份功能,把文件备份为asp格式,就可以得到我们的webshell了。
可是,我们做完这一些之后访问url得到一个404错误。那,问题在哪呢?
哦,从这里可以看出我们输入的文件名,不是文件名,而是一个文件夹名。而我们要备份的那个jpg文件,会保存到我们输入的文件夹名下的shop.mdb。
瞬间,想到的就是iis的解析漏洞,输入1.asp作为文件夹,然后访问:xxxx.xxxx.com/1.asp/shop.mdb。能够直接把shop.mdb中的内容以asp格式访问。
就这样,小马可以使用了,再把大马放上去~~~
行,就写到这把,好几个月前的事了,只是一个思路的记录。也没环境去截那么多图了。
上网时,突然有人找我说要破解一软件,看了下,是俊亚的一款收费软件。
用OD跟踪了个把小时,没有实质性的进展,不过,也大概知道了验证的思路,改了些地方,想暴力破解掉,可发现没那么简单,于是,暂时休息休息。知道它用的是网络验证,那么,服务端在哪呢?
换工具,对程序抓包,找到url(http://xxxxx.fsjyrj.com/gdy/hld_query.asp)后,去看了下,返回的是一大堆组合数字,也就是说,程序需要解密这个返回的数据来进行判断从而验证。另外,在注册码错误的时候,弹出如下对话框。
可在程序中是没有这些个字符的,开始猜测可能是以unicode存放在程序中的,可看到那一大堆组合的数字之后,觉得,返回的这些个信息应该也是从服务端传递过来的。于是再用OD下recvfrom断点,跟踪了一下,证实了我的猜想。
回头看看那个url,一级级的目录进行浏览,结果发现,http://xxxxx.fsjyrj.com/gdy直接弹出网站后台登陆界面了,然后再打开http://xxxxx.fsjyrj.com。看到一个设计的挺精美的网站,不过,一看就知道是个展示页面,并没有任何的实质性内容,也就是说,用的是一个跟自己软件验证毫无关系的网站作为显示。
回到登陆界面,
找到的唯一有用的信息是“梦幻账号管理系统”,百度谷歌一番,没任何收获,于是,回到那个设计精美的页面,找到一些关键词,搜了下,把源代码下下来,结果发现,整个网站,就只有几个html页面。于是,从网站端下手,有点困难了。就先放放吧。改天再看。
第二天再次打开网址,发现页面换了,页面换了也就是说换了一套展示的系统。看了下,是网趣网上购物系统。于是立马网上down下源代码。心想才放上去的网站,肯定登陆用户名密码都没改的,网站后接admin,用默认的admin/admin,直接就进去了。
然后,破解的思路就是:拿下网站,找到验证的asp程序,改掉,在本地搭建服务器,本地hosts文件中添加一条记录,使网站指向127.0.0.1。
于是,提权吧。后台转悠了半天,没发现啥可用的,于是,来分析下几个上传文件的地方的源代码。
可以看出,只允许上传几种常见的图片文件,而如果发现了asp等网页文件后缀的字符串,则直接清除掉再存放文件。于是,试了下构造特定的asaspp等后缀上传,结果发现还是不能直接上传webshell。
后来,想了下一些博客,常用的都有一个database备份的页面,而且,不会放在菜单栏上。于是,找了找,发现,这套系统也有一个backdata.asp的文件。
直接访问,发现能够实现对特定的文件进行备份。
可以看出,我们把webshell改成jpg的后缀,上传得到返回地址,而后再用这个备份功能,把文件备份为asp格式,就可以得到我们的webshell了。
可是,我们做完这一些之后访问url得到一个404错误。那,问题在哪呢?
哦,从这里可以看出我们输入的文件名,不是文件名,而是一个文件夹名。而我们要备份的那个jpg文件,会保存到我们输入的文件夹名下的shop.mdb。
瞬间,想到的就是iis的解析漏洞,输入1.asp作为文件夹,然后访问:xxxx.xxxx.com/1.asp/shop.mdb。能够直接把shop.mdb中的内容以asp格式访问。
就这样,小马可以使用了,再把大马放上去~~~
行,就写到这把,好几个月前的事了,只是一个思路的记录。也没环境去截那么多图了。
|
|
|---|---|
|
|
|
|
|
 厉害啊
|
|
|
不是有数据库备份吗。直接上一个图片一句话,搞定,1楼正解,楼主这是捅了程序的菊花啊
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
细思恐极
|
|
|
|
|
|
|
|
|
|
|
|
..............................................
|
|
|
|
|
|
|
