一次n点虚拟主机提权分析

总之能翻的目录都翻了除了站点目录能写之外其他的都不能写

支持asp.net可以iisspy某前辈的(之前是一名it教师最近不知咋的兜售起空间来)服务器想找到saroot那是不可能的人家是教网络的~

通过iisspy看到一个稍微特殊的web端口8080感觉翻进去发现是n点n点之前爆了个致命的漏洞相信大家并不陌生。但是那个漏洞前提是要弄到n点管理员密码的

虽然我没有管理员密码虽然不进去也能轻松拿到服务器权限但是我依旧有想进去后台管理的欲望并且还很强烈。。。加几个虚拟空间什么的。。。

由于我能直接能翻到n点管理平台目录所以我就修改了个登陆语句就进去了。瞎翻了下发现也不是那么好玩(后来提完权闲着没事仔细的看了下发现是可以直接拿服务器权限并不是像n点官方宣传的那样进了管理页面也不能拿到服务权限。)我直接用了最管用的办法下载n点管理平台的数据库。通过数据顺利找到sa密码和root密码。

sa和root所在的表hostcs：

密码都是特殊加密的不是常见的如：JATEA@IOCBGMIBHDKCPCJIDNJFFCEF@KDNFMLOOMILHL@E


解密方法如下：

<!--#includefile=&quot;inc/conn.asp&quot;-->

<!--#includefile=&quot;inc/siteinfo.asp&quot;-->

<!--#includefile=&quot;inc/char.asp&quot;-->

<%

setiishost=server.CreateObject(&quot;npoint.host&quot;)

x=iishost.Eduserpassword(&quot;JATEA@IOCBGMIBHDKCPCJIDNJFFCEF@KDNFMLOOMILHL@E&quot;,0)

response.writex

%>
将此文件保存至n点的web目录任意.asp结尾的文件然后访问
Eduserpassword部分替换为你需要解密的密码
&nbsp;
有sa又有root提权当然就毫无压力了~~
这个解密语句稍微看下相关代码就会理解为什么


这个是原语句：

ifiishost.Eduserpassword(&quot;&quot;&rs(&quot;FTPpass&quot;)&&quot;&quot;,0)<>trim(request.Form(&quot;password&quot;))then

意思是说将数据库中加密的字符串拿来解密然后再与我们输入的字符来对比
&nbsp;
事实上不看数据库后台很多密码框像saroot什么的都是明文的(只是绕了个弯)
默认数据库地址host_date/%23host%20%23%20date%23.mdb
&nbsp;
*
*