分类 黑客技术 下的文章

最近在翻看危险漫步博客一些文章的时候,拜读了一篇文章关于Cookie注入的文章,受益良多。文中详细解析了Cookie注入漏洞存在的原因以及多种利用方法,非常适合大家来学习进步,但是我总感觉不够完善,今天我就来补充一下。

想想看,大家平时在入侵中碰到Cookie注入漏洞的时候,多半采用的利用方法应该就是用“寂寞的刺猬”大大写的那款“注入中转生成器”来生成一个asp页面。

然后将生成的页面文件放在asp环境下,构造出合适的url就可以直接注入了。方法虽然不是很复杂,但是有的时候,专门为了一个注入漏洞来搭建一个asp环境也挺不方便的。

一、工具的简单介绍

这里,我就给大家介绍一款工具,可以直接搞定大部分Cookie注入漏洞,避免了因需要搭建asp环境而带来的麻烦。好吧,废话不多说,先上工具的高清无码大图一张。

没错,就是这个“鬼客、cookie全自动SQL注入工具”,从标题就可以看出来,这个工具只适用于Access数据库的注入,这也就是我前面提到的可以搞定大部分Cookie注入漏洞而不是全部的原因了。

二、实践演示

我们直接搭建一个存在Cookie注入漏洞的网站出来,在实践中来掌握这个工具的使用方法。这里我从网上找到了一套程序“宜昌电脑公司”,好了,网站搭建好,我们就来开始活动了。

经由我们分析得知,存在Cookie注入漏洞的页面是网站根目录下的news_more.asp文件,Ok,我们在网站中找到类似的链接,习惯性的在该地址后面添加一个单引号,弹出了防注入警告。

继续提交-0和-1,分别返回了不同的页面。

到这里,我们就可以大胆的猜测该页面存在Cookie注入漏洞了。

1.jpg

接下来就是鬼客的这款工具大显神通的时候了,打开工具,在注入网址框填写,变量框填写id,变量后的值框中填写1179,这个具体是需要根据存在Cookie注入的地址来填写的,因为我是本地搭建,存在Cookie注入的地址是//localhost/news_more.asp?id=1179,所以就要按照上面介绍的来填写。

心急的朋友们别只填写好这个以后就直接点击检测按钮了,不,我们还需要填写下连接类型和特征字符。我先来解释下连接类型,所谓连接类型,就是指该注入点是数字型还是字符型注入点,关于怎么判断我就不多说了,无非是个单引号符号闭合的问题,单纯的看数字还是字母有时候不是那么准确。再来说下特征字符,所谓特征字符,就是指当前正常页面存在而报错页面不存在的,可以起到区分作用的字符串。这里,我们用刚刚那个注入点做演示,先提交让其报错。

对比正常页面,我们发现,新闻标题不见了,那么该则新闻标题“一分价钱一分货高价彩色

复合机推荐”就是存在于正常页面而不存在于报错页面的特征字符了。OK,我们将其填写在特征字符栏中,经测试,连接类型是数字型,我们勾选数字单选框,填好后结果。

至此,需要填写的就全部完成了,我们点击检测按钮,稍等一会,工具左下方提示存在注入。

到这里,就可以开始注入了,我们点击检测表段,工具就开始用字典暴力破解表段了,稍等一会后,会在左下方提示检测表段完成,我们可以发现工具检测出来一个ADMIN表段。

这里ADMIN表可能就是存放管理员账号密码的表,我们单击选中它,然后检测字段,耐心等待一会至提示检测字段完成,Ok,我们发现在ADMIN表下已经检测出来了三个字段:ID、ADMIN、PWD。

接下来,就是分别对ADMIN字段和PWD字段的内容进行检测了,最后得到内容。

有的时候得到的密码可能是经过加密的,那时候就需要相应的查询解密,这里是明文密码就不多说了。接下来就是去后台测试注入到的账号密码是否正确,找到后台,成功登陆。

至此,我相信大家都会使用该工具来直接搞定Cookie注入点了。如果遇到另类的表名字段名需要添加的情况,我们可以点击工具左侧的程序设置按钮,然后自行添加。

记得某位大牛曾经说过:工具的作用就是让入侵更为方便。相信这款可以直接搞定Cookie注入点的工具,可以让大家在以后的入侵过程中更简单更快捷的搞定目标。同时也希望大家有什么好的工具一起交流进步。

危险漫步这回给大家带来JAR手机游戏和软件的简单破解教程。

一、准备

1、智能手机一部

2、X-plore(很好找到,各大网站都有)

3、你要破解的JAR游戏安装包

二、测试

本次“实用手机荧光棒”为例,为了以防万一,首先把情景模式调到离线,并运行游戏到收费那里,记录一下号码。然后退出游戏,看一下发件箱有无短信,有就删除了,要不然可能扣费!

1.jpg

三、破解

1、先打开X-plore,因为智能机安装jar软件后jar的安装包不会消失,所以我们来修改这个文件,找到这个文件,点击确实后进入就能看到这个软件的内部结构,点菜单一文件一解压到…,然后菜单一文件一新建文件夹,把文件解压进这个文件夹。

2、解压后文件夹中有好多“class”结尾的文件。

我们就是要修改这些文件。我们在文件上按键盘“3”用16进制打开会看到很多代码,然后按键盘“1”出现搜索,我们搜索“sms”。如果有就会直接跳转过去,没有的话也会提示。

3、当找到后跳转过去,看后面是不是我们那会记得那个“10668“开头的号码啊!接着点

菜单一编辑一查找下个,就跳转到我们刚看到的那个把前5位“31 30 36 36 38”改成"31 30 30 38 36”,修改好后点返回,会提示我们保存,当然选择是了。

4、修改好了一个后,我们要继续查找其他的文件,把能找到的全部修改了,以防它还有扣费代码,危险漫步这里可是复查了好几遍才确认没有的,大家可不能随便查查就算了哦。

5、修改好了后我们就要重新打包了,返回文件夹,点菜单一标记一全部标记,标记所有的

文件夹内的文件,然后再点菜单-*zip一复制到zip,选择一个路径后就会有一个”Files。zip'’,文件名随便,但一定要把后缀生成”。jar”,然后我们选中这个新生成的文件,点菜单一文件一从系统打开,安装测试。

四、测试

还运行游戏到收费的那,看看短信发出的号码前面是不是有10086呢!有就说明成功了!

五、完成

到此软件破解完成!游戏也是这个思路,破解后尽情购买收费道具吧!不过不要弄的太BT啊,否则就没有游戏的乐趣了!

提示:本教程比较适合移动号码,因为联通给10086发短信不免费,但是一条短信只花1毛,比原来便宜很多。

电脑端翻墙的方式,之前危险漫步博客上也介绍的很多了,虽然提到了通过浏览器中转服务器实现翻墙,但举的例子比如UC浏览器和Skyfire,在未经修改前还是不能翻墙的。本文将详细修改手机浏览器实现翻墙的方法。

文章以著名的浏览器Opera mini的android版为例,介绍修改,JAVA版和S60版做法类似,可以参考。

由于Opera mini的国际版(原来能翻墙的那个)现在在我国已经不能用,而必须下载中国版。中国版的当然是不能翻墙的,所以首先我们需要架设自己用于中转的服务器。这里以基于Google App Engine为例,介绍架设OPM。

首先需要创建一个新的GAE程序,这一步骤与之前危险漫步博客上面的GAppProxy相仿,我就挑关键步骤写一下了。访问如果没有账户则需要注册一个Gmail,用Gmail登录后按Create Application。在下一步中随意填写,一定要记住Application Identifier里填的东西,这里我为大家申请了一个,取名为gwxopmpublic,方便不愿意动手架设OPM的朋友直接使用。

接着要下载光盘中的opm压缩包和Google App Engine SDK for Java 1.3.5,将二者解压至某目录。将解压后的java-sdk文件夹命名为gaejavasdk放在D盘根目录下,然后将解压后的opm文件夹放入d:gaejavasdk。

用记事本打开“opm/war/WEB-INF/appengine_web.xml”文件,找到一行:<application>your-

application-id</application>把“your-application-id”改成你对应的Google App的名称,这里就是gwxopmpublic,修改后保存。

进入命令行(运行cmd)进入刚才的“d:gaejavasdk”目录,再进入bin目录,在提示符下输入如下命令:appcfg.cmd update d:gaejavasdkopmwar,其中update之后是刚刚那个OPM的文件夹。

接下来会有提示输入Gmail地址和密码,注意,输入密码时屏幕上什么都不提示,这和GAppProxy上传fetch.py时是一样的。最后,等待上传完成,当出现下面一行提示时则上传成功:Update completed successfully。上传好后测试一下,浏览http://你的程序帐号ID.appspot.com/opm。上传成功后我们就要对浏览器进行修改了,首先下载最新版Opera mini的APK文件放在一遍用于修改。然后我们需要一款能够反编译APK的工具,这里为了自己,我基于APK Manager重新写了一款全中文的反编译工具,这款工具的功能当然不止是修改浏览器这么简单,对于APK文件能提供全方位的修改与编译功能,这个让大家们自己研究吧。在双击其中的“运行我.EXE”进入主程序前我简单介绍一下文件目录结构。解压后你会看到6个文件夹,其中other是存放APK编译脚本和程序模块的文件夹,Projects文件夹将会包含反编译出来的文件,而place-apk-here-for-modding文件夹专用于存放待修改的文件,place-apk-here-for-signing用于放置待签名的文件,place-apk-here-to-batch-optimize用于放置待批量处理的文件(可以多个),place-ogg-here文件夹用于存放OGG文件。好了,双击“运行我.EXE”开始我们的修改之旅吧!

1.jpg

将要修改的Opera浏览器的APK放进place-apk-here-for-modding文件夹(这个文件夹用于存放待修改的文件,文件名一定不能有空格,最好全英文),光盘里的APK是国际版的,建议修改国际版的,当然中国版的一样修改。在APK修改器中输入22选择这个APK,然后输入9回车,提取并反编译APK文件。约3秒左右,提取出来的文件就能在projects文件夹中找到。到目录下找到:“projectsOpera.apksmali”中的f.smali,用记事本打开,这时我们就可以替换Opera的服务器地址了。

按F3查找,以“http”或者“socket”为关键词,找到2处要替换的,分别是:

const-string v3,"socket://mini5cn,opera-mini.

net:1080"

const-string v3,"http://mini5cn.opera-mini.

net:80/"

把这两行均替换为:const-string v3,。这样就实现了换

服。但光这样还是不够的,新版本似乎还加入了一串KEY验证的机制,这一改动使得笔者尝试了很多次都没有成功,经过笔者对代码的反复修改尝试,最终得到解决方法,我们还需要改一步,换KEY。

先找到一行:const-string v3,"socket://mini5.opera-mini.net:1080",这行上面一点点的地方有一长串东西("cldd7ab77e2c967746fel0681026c9......"),这个就是国际版的KEY。同时我们找到刚刚修改的地址上面也有一长串东西("8c60d2a6811f85366af231ae416831b09......")这个是国内版的KEY。我们复制国际版的KEY替换掉国内版的KEY。全部完成后保存。

修改完成后,应该是这样的一段代码(省略号表示无关代码省略):

<......>

const-string v3,"cldd7ab77e2c9<......KEY......>a5a28ccfa75af099147b"

aput-object v3,v2,v12

const-string v3,"socket://mini5.opera-mini.

net:1080"

aput-object v3,v2,v14

const-string v3,"http//mini5,opera-mini.net:80/"

<......>

const-string v3,cldd7ab77e2c9<......KEY......>a5a28ccfa75af099147b"

aput-odject v3,v2,v12

const-string v3,"http://gwxopmpublic.appspot.com/opm"

aput-object v3,v2,v14

const-string v3,"http://gwxopmpublic.appspot.com/opm"

<......>

我们回到APK编辑器,输入11进行编译,这是常规APK文件,所以当被询问是否是系统APK文件时输入N。完成后可以到目录下的place-apk-here-for-modding文件夹找到一个新的以unsigned开头的Opera文件,这个文件没有签名,还不能安装。

所以,继续使用APK编辑器,输入12进行签名(注意,不需要按22改工程哦)。很快projects文件夹下又多出一个signed开头的APK,这个APK就可以放进手机进行安装了。注意,安装新APKj必须把老的APK卸载掉,否则可能无法安装。

安装完成后运行,就能实现翻墙啦,HTG G1 Android2.2测试通过。

以上只是介绍了Android版Opera的修改方法,同样的方法适合修改Java版、iPhone版、S60版的Opera mini,理论上应该也适合修改QQ浏览器、UC浏览器,笔者选择了UC浏览器尝试了很多次,Java版的已经成功修改,但APK版的似乎很难成功,原因未知,希望大家们看了这篇文章能收到一点启发,修改更多浏览器实现翻墙,也希望高人能参考这篇文章的方法告诉笔者为什么UC浏览器的APK版本修改会失败。

好了,不多说了,今天就到这吧!

由于最近看不惯一些事,于是就想要对不满的对象进行一番检测,于是有了本文。

首先当然是找注入点了,随便找了一个带数据库查询的链接,在后面加上“’”、“and 1=1”、“and 1=2”都返回空白页面,估计过滤了还是怎么着。不过作为hacker爱好者的我们怎能如此轻易放弃呢?于是就行找找目录看有没有什么可以利用的,不一会就在一张图片的链接属性里找到了Ewebeditor编辑器的踪影。

Ewebeditor可是个好东西,要是有用户名密码修改一下上传样式,马上就可以拿到shell。于是立马按照默认的地址打开后台登陆地址,令我失望的是后台被管理员删了,看来管理员的安全意识还是挺高的,后台被删了,就算下载到默认数据库也没用了。

以前看过一篇文章说没有后台照样拿shell,但一时也找不到那篇文章了。重新整理一下思路,既然数字型的注入不行的话,字符型的行不行呢,带着这个疑问,我找了一个带字符的链接,分别在后面加上'and'1'='1'和'and'1'='2返回了不同的页面。

1.jpg

确定是一个注入点后立马丢到啊D,但啊D却检测不出表名,于是我换pangolin,呵呵,Pangolin检测的结果马上就出来了。

有了用户名和密码当然是找后台登陆了,后台地址在首页就直接给出了链接,顺利登陆后台后发现有数据库备份的地方,这样的话只要备份一下上传的图片木马就可以拿到shell了,可惜的是后台备份路径和数据库名都不可以自定义。

然后我把源码本地保存后,修改路径和备份名后提交也失败了。这让我陷入了中断,因为后台除了ewebeditor编辑器外就这个备份可以利用了。随便抓包看看吧,于是用WsockExpert抓包了备份数据库的过程并且发现了些猫腻。

既然包中有路径、文件名等信息,那修改路径成图片木马所在的路径,以及把备份的数据库名改为.asp后缀的包后提交可不可以呢?说做就做,把抓到的前两个send包复制到记事本,并且用Uedit32修改包,需要注意的是加上或减去多少个字节一定要在length那里一定要对应,不然可能提交失败。

修改保存后用NC提交,提交后到后台去看,发现已经生成asp木马了,打开shell的登录地址,成功拿到shell。

总体上来说这篇文章技术含量不高,只是灵活地利用了一下抓包而已,希望可以给新学习的hacker爱好者一点点思路。

假期无聊,随便乱逛,来到了一个新加坡站点,网站很普通,估计是asp+Access的站点,随手点开一个页面,用“-0”、“-1”简单测试发现存在注入。立马将网址丢到啊D中,不一会儿,啊D就成功猜解出后台用户名密码。

密码被md5加密,在cmd5网上查得原文,登录后台,有种似曾相识的感觉,估计是国内的程序员开发的。后台有上传和数据库备份功能,马上上传图片木马,利用数据库备份顺利得到webshell。

利用菜刀连接,发现权限控制的并不严格,绝大多数目录能浏览。WEB站点目录统一放在“C:Home”下。看着如此多的文件夹,心里不禁乐了,看来这个虚拟主机上的网站还不是一般的多。

既然服务器是虚拟主机,那应该是支持aspx与php的了,测试发现绝大多数站点目录下支持aspx和php,但有的php站点目录并不支持aspx,看来管理员对目录的脚本执行类型进行了简单的区分。

分别在不同的目录中上传好aspxspy和phpspy,在aspxspy中能成功执行命令。输入“ipconfig/all”,发现有两块网卡,其中内网IP为10.10.174.200,而外网IP为..*.200,估计内外网IP的末尾是一一对应的。IIS Ipy也能成功执行,域名和对应的文件夹路径。

1.jpg

继续执行命令“netstat -an”与“net start”查看了一下端口连接与服务开启情况,发现3389开放,服务器连接10.10.174:25的3306端口,并未发现有1433的连接,剩下的就是一长串的80连接了。

执行“systeminfo”查看下系统情况,系统是用的win的web版本,而非常见的企业版,管理员估计设置的自动更新,服务器满补丁运行,但还是抱着奢望尝试了巴西烤肉等提权exp,均失败。

远程连接其3389,5下shift看有没有后门,也并没有发现Hacker留下的踪迹。ftp服务是用微软自带的IIS搭建,服务器为每个站点都建立了唯一的用户,用net user可以查看到N多用户,都隶属于ftpusers组。翻遍了全盘,也没发现有mysql和MSSQL等数据库遗留或备份的痕迹。从前面执行的“netstat -an”结果中,此WEB服务器连接了10.10.174.25的3306端口,估计10.10.174.25被专门用做数据库服务器了。

来看看是否能利用下这个数据库服务器,在其中一个php站点的数据库连接中。

hostname是mysql而不是常见的localhost,在aspx马中执行命令“ping mysql”,其ip为10.10.174.25。既然WEB服务器弄不下,也就只好先看看这个数据库服务器。将上述信息填入phpspy中,连接成功,这时愣了,没想到这用户竟然能查看到mysql数据库。

马上选择mysql数据库,执行“select host,user,password,select_priv from mysql.user;”,执行结果所有用户全部显示出来了。将select-priv为Y的用户整理出来,拿去彩虹表破解之,三分钟不到,结果就出来了,用的纯字母。用root连接数据库服务器成功,利用mysql的load_file()读了下文件,没想到此服务器竟然是用的freebsd。这下就无奈了,要是windows就好啦,而linux下的权限区分的很分明,这个mysql的root用户只能读写普通文件了。读

了下“/etc/passwd”,一大溜的用户。

在aspxspy上对这台mysql服务器的端口开放情况进行了扫描,看是否提供web服务而开启了80、8080等端口。结果再度令人失望,只开放3306和65000端口。没有开放WEB服务,看来对这台数据库服务器的提权是无望了。想到web服务器内外网IP——对应的关系,猜测其外网lP估计为..*.25,telnet其65000端口。

判断是正确的,这个65000是用来远程管理的,利用先前用load_file收集到的用户信息,尝试了几个弱口令均失败,将mysql的root密码作为密码也提示“Login incorrect”。

数据库服务器无法进展又只好回到WEB服务器上来,磁盘上文件都被翻了个遍也没有再找到什么敏感的信息。试试社工吧,继续利用“/etc/passwd”中的用户名和破解出mysql的root密码,N个组合后,突然RP爆发,管理员administrator所用的密码就是mysql的root密码。

登录成功后,发现内网中有相当数量的服务器,上传s扫描器,对内网中开放3389的主机进行了扫描,利用密码通用和MSSQL的sa弱口令又拿下了几台。

由于语言的关系,就没有再对这个内网进行深入下去,这个曲折的检测就告一段落了,在成功登录这台WEB服务器时,自己也是有一些欣喜与忐忑的,很有一种绝处逢生的感觉。各种提权exp无效,不提供mssql、mysql等数据库服务,ftp又是用的IIS自带,心里想着要放弃时,却利用管理员在对mysql用户权限分配上的一个小小疏忽,破解出了root的密码,成功获得了系统权限。很是感慨,社会工程,不失为一种高于技术的高深科学。大家们好好去发挥吧。