最近在旁注一个站的时候,发现他的服务器上只有几个站,并且这些站都是纯discuz论坛,只有一个用的是lbs博客程序。
没得办法,discuz最近没出什么漏洞,只有从这个lbs博客站入手了。经过几天的艰辛努力,这个博客站总算被我拿下,
传了webshell,可是提权不了。权限卡的太死了,没办法。哎,真火背啊。不过还是收获不少,对lbs博客的入侵掌握了不
少东西。拿出来跟大家一起分享。这些都是本人辛辛苦苦摸索出来的。未经本人许可,严禁转载。
1.lbs密码采用SHA1加密,而不是常用的MD5。
lbs数据库路径默认是/data/blog.mdb,目前有很多站都没克改。baidu上google一活子,就可以找到一箍堆。知道数据库路径后,我们把它下载下来,打开blog_User表可以发现:user_passsword的长度是40位,而不是16位或32位(MD5加密后的密码长度一般为16为或32位)。根据直觉和经验,这密码采用MD5加密的可能性不大,十有八九用的是SHA1加密里。去下载lbs源代码凑凑,可以找到这样一个文件/class/sha1.asp。果然和我想里一样,还真里是用SH11加密里。
2.user_password = sha1加密 (用户设置的密码 + user_salt)。
在知道密码用什么加密后,在网上找了个可以查询SHA1的站
http://www.md5sha1.com/。把密码拿放到去查询。我把数据库中保存的密码都给试了,一个都没查出来。难道这个站上的用户都很注重密码的安全,设置密码都这么复杂。有点不甘心!突然发现数据库中有这样一个字段user_salt,这个字段是搞撒子用里呢。翻了哈儿lbs源代码。它的登陆代码/class/user.asp是这样写的
复制内容到剪贴板
代码:
if(tmpA["user_password"]==func.SHA1(strPassword+tmpA["user_salt"])){
// Update IP, lastVisitDate & hash key
connBlog.update("[blog_User]", arrUpdate,"user_ID="+tmpA["user_id"]);
Response.Cookies(lbsNamespace+"userid")=tmpA["user_id"];
Response.Cookies(lbsNamespace+"hashkey")=tHashKey;
Response.Cookies(lbsNamespace+"userid").Expires=tDate.getVarDate();
Response.Cookies(lbsNamespace+"hashkey").Expires=tDate.getVarDate();
Session("lbsSecurityCode")=undefined; // Clean up to avoid abuse
this.fill(tmpA);
this.loggedIn=true;
return false;
}else{
this.logout(false);
if(!Session("loginfail")) Session("loginfail")=0;
Session("loginfail")++;
return "<li>"+lang["login_fail"]+"</li>";
}看到没,嘿嘿。登陆的时候它把数据库中保存的user_slot附在用户输入的密码后组装成新的密码,再对这个新的密码进行sha1加密。然后才跟数据库中保存的密码字段user_password进行比较,如果相等就算登陆成功,否则登陆失败。这样一来,数据库中保存的密码就很难被暴破了,就算数据库被非法下载,破解的几率是很微乎其微的。难怪刚才一个都没破出来。lbs默认密码是comeon,加上user_salt就是comeonp7h774,拿到
http://www.md5sha1.com/加一下密,可以发现跟数据库中保存的密码是一样的。
3.user_password的破解方法。
对与这类用md5和sha1加密的密码破解,目前没有什么好的方法,只有暴力破解喽,一个个去试。可以去下载个字典和SHA1暴力破解的软件。这类软件网上有很多,baidu上goole一下又是一箍堆。
有点值得注意:需要在生成的字典文件中每条记录后面加上user_salt值,目前还没发现哪个字典可以在生成的记录后面自动加上一个固定字符串的,谁有给我传一个。可以考虑写个转换的程序。呵呵。。。
