非常规破解网络验证

MyTH

上网时，突然有人找我说要破解一软件，看了下，是俊亚的一款收费软件。
用OD跟踪了个把小时，没有实质性的进展，不过，也大概知道了验证的思路，改了些地方，想暴力破解掉，可发现没那么简单，于是，暂时休息休息。知道它用的是网络验证，那么，服务端在哪呢？
换工具，对程序抓包，找到url（http://xxxxx.fsjyrj.com/gdy/hld_query.asp）后，去看了下, 返回的是一大堆组合数字，也就是说，程序需要解密这个返回的数据来进行判断从而验证。另外，在注册码错误的时候，弹出如下对话框。

可在程序中是没有这些个字符的，开始猜测可能是以unicode存放在程序中的，可看到那一大堆组合的数字之后，觉得，返回的这些个信息应该也是从服务端传递过来的。于是再用OD下recvfrom断点，跟踪了一下，证实了我的猜想。
回头看看那个url，一级级的目录进行浏览，结果发现，http://xxxxx.fsjyrj.com/gdy直接弹出网站后台登陆界面 了，然后再打开http://xxxxx.fsjyrj.com。看到一个设计的挺精美的网站，不过，一看就知道是个展示页面，并没有任何的实质性内容， 也就是说，用的是一个跟自己软件验证毫无关系的网站作为显示。

找到的唯一有用的信息是“梦幻账号管理系统”，百度谷歌一番，没任何收获，于是，回到那个设计精美的页面，找到一些关键词，搜了下，把源代码下下来，结果发现，整个网站，就只有几个html页面。于是，从网站端下手，有点困难了。就先放放吧。改天再看。
第二天再次打开网址，发现页面换了，页面换了也就是说换了一套展示的系统。看了下，是网趣网上购物系统。于是立马网上down下源代码。心想才放上去的网站，肯定登陆用户名密码都没改的，网站后接admin，用默认的admin/admin，直接就进去了。
然后，破解的思路就是：拿下网站，找到验证的asp程序，改掉，在本地搭建服务器，本地hosts文件中添加一条记录，使网站指向127.0.0.1。
于是，提权吧。后台转悠了半天，没发现啥可用的，于是，来分析下几个上传文件的地方的源代码。


可以看出，只允许上传几种常见的图片文件，而如果发现了asp等网页文件后缀的字符串，则直接清除掉再存放文件。于是，试了下构造特定的asaspp等后缀上传，结果发现还是不能直接上传webshell。
后来，想了下一些博客，常用的都有一个database备份的页面，而且，不会放在菜单栏上。于是，找了找，发现，这套系统也有一个backdata.asp的文件。
直接访问，发现能够实现对特定的文件进行备份。
可以看出，我们把webshell改成jpg的后缀，上传得到返回地址，而后再用这个备份功能，把文件备份为asp格式，就可以得到我们的webshell了。
可是，我们做完这一些之后访问url得到一个404错误。那，问题在哪呢？

哦，从这里可以看出我们输入的文件名，不是文件名，而是一个文件夹名。而我们要备份的那个jpg文件，会保存到我们输入的文件夹名下的shop.mdb。
瞬间，想到的就是iis的解析漏洞，输入1.asp作为文件夹，然后访问：xxxx.xxxx.com/1.asp/shop.mdb。能够直接把shop.mdb中的内容以asp格式访问。
就这样，小马可以使用了，再把大马放上去~~~
行，就写到这把，好几个月前的事了，只是一个思路的记录。也没环境去截那么多图了。


原帖地址:http://www.myth007.com/?p=472

liouxin

我去，楼主发的渗透教程，能不能发点提权的？？

...

额，入侵啊，限制很大的

gxc2222

好屌  完全 看不懂P=P  膜拜大牛

what01

如果WAP验证自己做的话，那就不行了。呵呵。

我刚刚破解了几个网络验证的，其实思路比较简单，就是 返回的验证信息在关键call中，必须得到满足即可。我们完全可以无视网络返回的数据。再进一步来做的话，就是，我们完全可以制造一些满足条件的返回数据。就是call中要什么，我们给什么即可。还有一点就是，当实在给不错验证码算法的时候，我们就改造一下call的算法。

1c3z

这人品。。。叼！！！

tony2526

嘿嘿，看的不是太懂啊，膜拜大神

igemq

赞一下！

吴小双

赞一下！...........

dwcxb

新手只能支持大牛

ら不否定的回答

膜拜大妞来了。。