黑客营互动版第五关（最终关）：实战论坛攻击

黑客·安全

2005年11月14日

本关难点：

论坛拥有基本的安全设置，需要利用漏洞才能攻破系统。但是，只要得到pizz.asp就算通过测验了。

选手A：不锈钢绵羊（江西）

使用工具：MyBrowser WSockExpert netcat

年龄：26

输入http://hack.bji.cn/NT05138517947/index.asp，点击注册，进入注册页面。

输入用户名：cakeuser, 验证码：3477， 论坛密码：hacker,论坛密码(第二遍):hacked.这里故意把密码最后一位输错，为的就是让它注册失败，后面随便填。打开WSockExpert.exe工具准备抓包，点击注册按钮。把抓到的数据，复制到a.txt文件中，然后修改提交数据。

再修改一下提交数据的长度。在cmd下，键入“nc -vv hack.bji.cn 80

这样我们得到了前台用户名、后台用户名、后台密码，还有TurePassword。先准备一个asp木马，修改特征码，防止被服务器杀毒软件kill掉，再在文件头加入GIF89a, 然后改名成ok.gif,上传.用MyBrowser.exe浏览器浏览论坛，用我们得到的这些关键数据修改cookie，进入后台，备份数据库，把ok.gif还原成ok.asp。键入http://hack.bji.cn/NT05138517947/ok.asp,这时我们能看到论坛的asp文件了，得到pizz.asp,键入http://hack.bji.cn/NT05138517947/pizz.asp，ok,过关！

阿良点评：不锈钢绵羊选手在得到了管理员密码后，使用了一个木马文件获得了整个论坛系统的管理员权限。节省了很多不必要的操作。该选手能够灵活运用木马程序值得我们学习。

选手B：kofj

使用工具：FireFox jinsdb

年龄：不详

使用jinsdb 截获POST的数据内容。此时已有前台管理员权限，但是因为target版本为7.1.0，由于注册管理员的时候提交了自己构造的userface，导致登录时，target取得的TruePassword信息总是不变，为夹在userface里面的值，进入了循环请求newpass.asp的状态。

进入了死循环，并且页面停止，但此时会话仍然生效，相信SESSION变量等都在，只要利用一个普通用户来接管这个会话，既有了ADMIN的会话，又可以发送正确的cookie，不会限制于ADMIN的特殊userface资料而变成死循环。

具体方法，登录注册的ADMIN，然后修改cookie的变量为普通用户的cookie，当然不能改SESSIONID。再次登录已经是前台管理员权限了，利用recycle.asp的tablename变量过滤不严，使用注入语句取得后台管理员信息。查看TruePassword，然后使用同样方法查看Dv_log全部内容。

伪造cookie以Sleilvfe身份登录前台，得到数据库中最新的TruePassword就等于拿到了Sleilvfe的前台。进入后台，添加kofj账号为后台管理员，拥有所有权限。最后得到pizz.asp页面，通关成功。

阿良点评：kofj选手使用了三种技巧，首先是抓得反馈包，然后是使用注入漏洞得到管理员权限，最后使用cookie伪造得到最新的TruePassword。整个攻击思路清晰流畅，可见他的黑客技术十分过硬。