hzhost虚拟主机系统致命漏洞(三)

　　提示恢复成功了!看来证明我的猜测是正确的。来看看导入的数据是否有利用价值?

　　

　　从数据库的表结构可以看出这个应该是虚拟主机平台的用户数据。找了一个等级高的破解了Md5密码。后在网站登陆了下：

　　

　　现在是管理员了，切换到后台看看。这个就是HZHOST6.5版本后台。通过查看客户资料发现目标站点账号密码。居然还是明文的!!!数据库密码也是一样，下面就是登陆数据库远程备份回来或者自己加用户到论坛后台去查其他资料咯。无聊又接着逛了下后台的系统设置，因为原来一直以为刚才的密码是在本机登陆过FTP都会出现记录的。后来本地测试，发现不是，疑惑中!结果在后台有了惊人发现，原来是HZHOST的一个致命漏洞!

　　

　　在后台的任务计划处出现了这个系统备份的功能。上面的FTP地址、账号密码(星号部分在刚才备份得到的数据库里查询到的)和我们前面在sysdbftp.scr这个文件里读取到的是一模一样的，看来系统缓存里的日志文件是因为HZHOST的定时任务计划生成的。

　　另外在服务器管理的进程池部分看到了这些，看来刚才的Session记录也后台导致的。

　　

　　不仅如此，因为虚拟主机程序要对服务器进行操作(比如添加删除用户时候要远程或本地操作IIS和Serv-u等软件，)所以存在一个管理密码和接口，这个密码有什么用不需要多说了吧?接下来考虑下怎么拿下这个虚拟主机提供商网站权限看看。

　　因为后台保存的只是其他注册网站的FTP和数据库密码，所以不对这个虚拟主机程序本身存在操作权限密码的保存记录，前面经过漫长的资料收集过程(在完成整个渗透过程的时候当然没有我上面介绍的思路这么简单，我还通过社工手段搜集了网站管理员和公司员工的好多资料)，但是最终放弃了使用社工。因为太浪费时间了。虽然社工确实很强大，但是非必要的时候还是不用的。

　　前面说到上面有保存其他注册用户数据库和FTP密码，这里我就利用Mssql来进行深入渗透吧!

　　

　　这里权限肯定是DB权限，而且Sql2005默认把执行命令的组件都去掉了，不存在传统的提权途径了，但是知道MSSQL密码的时候根据权限大小可以进行列表和差异备份的操作。

　　

　　操作证明Xp_dirtree是存在的。接下来跳转到虚拟主机控制平台网站目录。

　　

　　然后执行差异备份即可得到一个webshell。

　　

　　这里就上传成功一个webshell了，接下来就不在说明。看来HZHOST的漏洞要让很多虚拟主机服务器沦陷了。笔者借此文给正在使用这套系统的站长们提个醒。

来源：IT专家网 编辑：yangzhenxing88

【投稿】【打印】【关闭】