黑基网 首页 学院 网络安全 查看内容

美萍网管系列软件漏洞完全剖析

2009-2-13 03:48| 投稿: security

摘要: 邪恶八进制 A1Pass 注:文章已经发表于2006年第3期《黑客X档案》,后由原创作者友情提交到邪恶八进制论坛,转载请著名原始出处《黑客X档案》。  &nb...
邪恶八进制 A1Pass 注:文章已经发表于2006年第3期《黑客X档案》,后由原创作者友情提交到邪恶八进制论坛,转载请著名原始出处《黑客X档案》。        我所在的城市,网吧100%用的都是美萍网管系统,没办法!也就只能先研究一下美萍了,还望大家海涵!美萍网管系列软件其实也应该算是几大网管软件之一了!名声挺响的!今天我们讨论的内容就是针对《美萍网管大师》与《美萍电脑安全卫士》这一网吧经典组合!希望大家喜欢!       在讨论之前先做个声明,鉴于文章的特点,我先写《美萍电脑安全卫士》(以下简称:安全卫士),为了是先让可爱的菜鸟们学到基本的网吧破解知识!而后面的《美萍网管大师》(以下简称:网管大师)会涉及到一些新入门的小菜们不具备的条件,所以放到后面给大鸟们看!(关于老鸟,更得看!帮我解决问题呀!) 一、《美萍电脑安全卫士》的三大漏洞       安全卫士是网吧网管系统的客户端,我们常说的“网吧破解”,大多就是指破解客户端,使自己使用的这台机器与网管系统脱离,从而达到免费上网的目的!自然,安全卫士就是我们破解网吧所遇到的第一只拦路虎!俗话说:“老虎也有打盹的时候。”好!下面我就介绍一下让这只老虎总是打盹的方法!嘿嘿!(不是喂安眠药呦!) 第一招:借力打力(.jst文件漏洞)     关于这个漏洞,我在2006年的第1期X档案中已经介绍了。这里我简单的给大家介绍一下漏洞的利用方法,想知道原理的朋友们就请参考第1期X档案吧……       简单的说一下,此漏洞主要是利用美萍的软件保护机制,来达到清空美萍的管理员密码的目的!如果操作快的话,一分钟就可搞定!怎么样,厉害吧?下面请看操作步骤。       你首先要做的是打开QQ(别说没有!!),通过QQ的“文件传送”传输功能可进入默认目录“My Documents”文件夹!在单击“上一页”按扭,进入C盘,找到“SMENU”文件夹后进入,并删除里面的“smenu.jst”文件!重起机,OK!看看密码是不是被清空了?我们上面的方法是针对磁盘被隐藏的情况下进行的操作,如果你所在的网吧没有隐藏磁盘那就更好办了!总之你只要删除“SMENU”目录下的“smenu.jst”文件并重起机便OK了!关于本节为什么叫借力打力,看看原理就知道了! 第二招:隔山打牛(注册模块溢出漏洞)       这个漏洞不是我发现的!所以还要在此感谢发现者赵学通朋友!       关于这个漏洞的名字起的到底合不合理,我现在还不敢下结论!因为我只是看它的现象像溢出!自己也没去验证,所以还得请老鸟们帮忙验证一下!       用过美萍的都清楚,在进入安全卫士后开始菜单会被伪装!(如图1) 图1'800')this.width='800';if(this.height>'800')this.height='800';" border=0>       仔细看看里面是不是有一个“软件注册”选项?单击后进入软件注册窗口!在序列号栏里添入“w”,在注册号栏里添入“w”+“e”等字符,最好超过80个!字母可以随便添!(如图2) 图2'800')this.width='800';if(this.height>'800')this.height='800';" border=0>        然后在单击“注册”!成功的话会弹出提示例如“该程序执行了非法操作……”的对话框!单击“关闭”即可退出安全卫士!不成功的话可以在“注册号”栏里在多添一些字母!退出后“开始”栏会消失!玩一会游戏在回到桌面一般情况下“开始”栏就出现了!原因不明!看到这,大家应该想到了,在这里我们是通过程序执行错误这坐山,来打的美萍这只牛!怎么样?呵呵!       看过后,懂得溢出含义的朋友应该明白我为什么管这一节叫“注册模块溢出漏洞”了吧?关于原理的猜测,我在这里说一下。我的猜测是美萍公司没有对安全卫士的注册模块做好容错测试!才会出现这样的错误!关于弹出“非法操作”的提示框我认为可能有两种原因!一是多出限定字节数的假注册码被系统执行,而我们填写的却是一些无用的信息,系统无法执行,所以报错!(既我所担心类似溢出的错误)二是多出限定字节数的假注册码影响了程序的运行,从而导致报错!如果是第一种情况那可就严重了!大家想一想,我们输入的可是一些无用的字符!如果是可执行的命令呢?呵呵!是不是很恐怖呀? 第三招:暗渡陈仓(文件漏洞代表netlimit.cfg)       这是我2005.12月份发现的!其实也算不上什么漏洞。不过自从我发现后,我就一直在想,美萍为什么不改改设置文件内容明文保存的习惯呢?       关于美萍的文件漏洞,几乎处处都是!这里我选一个具有代表性的netlimit.cfg文件漏洞。我们看一看netlimit.cfg文件在安全卫士里是做什么的。先看看《美萍电脑安全卫士使用说明》,在里面的“二. 文件列表”里我们可以看到关于netlimit.cfg文件的叙述“NETLIMIT.CFG  站点限制文件”呵呵!你想到了什么?       好,在用老方法进入“SMENU”文件夹!用记事本打开netlimit.cfg文件!你看见了什么?呵呵!是不是什么都看的非常清楚?美萍怕我们不懂后面的英文是什么意思,在前面还给我们加上注释!(如图3) 图3'800')this.width='800';if(this.height>'800')this.height='800';" border=0>       呵呵!还等什么?统统都删了!在随便去个什么在线破解网吧设置的网站,接着想干什么就随你便喽。其实别的文件也可以用记事本打开!而且也是绝对的明文保存!!你也可以用同样的方法更改,以达到自己的目的!为了避免大家说我骗稿费,所以我就不在多罗嗦了……       只要你利用好这个漏洞,就可以神不知鬼不觉的修改安全卫士的一些重要设置!从而达到自己的目的,嘿嘿!叫“暗渡陈仓”,我想不过分吧?       有的朋友肯定会问“前面的那两种方法不是已经很好了吗?这个漏洞好象没什么必要吧?”好,我在这里就说一下他们的局限性与解决办法! 漏洞一: 缺点:清空密码,在改成自己的!呵呵!听起来到是很高呀!但你还能改成原先的那个管理员密码吗?不能?管理员如果用自己的密码去设置系统,却提示密码错误时,他会想到什么? 补救:很简单,在删除“smenu.jst”文件前,先将它复制到别的文件夹,在下机前在将它复制回去! 漏洞二: 缺点:有局限性,如果安全卫士已经注册,这个方法就会失效! 补救:目前没有有意义的解决办法! 漏洞三: 缺点:除了麻烦点,其他没什么缺点!用这个方法你即可以不完全破解美萍,解除一些限制。也可以对美萍进行完全爆破! 补救:除了制作专用工具,别的应该没什么办法了!       到这里,安全卫士的漏洞就算全部介绍完了!有了这些知识撑腰,我想小菜们应该也可以轻松破解美萍了吧?关于后面要讲的内容,都是建立在你已经成功入侵网吧主机的情况下才能进行的,欢迎大鸟们好好看看!当然,菜鸟学学也无妨。 二、《美萍网管大师》的三大漏洞       关于网管大师美萍以发布了N个版本了,但是升级后的版本都修正了些什么问题,我是真的没看出来!我下面所介绍的漏洞针对目前所有版本的网管大师都有效!呵呵!恐怖吧?(谁有时间去看看美萍的主页,是不是也N多漏洞呀?呵呵!搞笑了!)       假如你成功入侵了网吧主机!你会想干些什么呢?不管你想的是什么,反正我想的是怎样让自己绝对安全的免费上机!现在在我脑子里有三个想法,一是通过修改会员数据库,给自己的会员加时;二是通过远程控制,给自己的会员加时(想想而已,你可千万别这么做!容易死人!);三是利用美萍的“人性化”设计,把自己这台机器的收费标准改一改,例如改成“0.01元/小时”等等,呵呵!       但是想归想,理论与实际还是有差距地!第一,美萍用的不是“*.mdb”标准数据库,改数据库是没望了!第二,用3389控制的话,你得打开网管大师得多开限制!而且还得知道管理员密码!如果用直接控制……你敢的话我到是什么也说不出来……第三,这可是管理员都改不了的东东,需要有老板的最终权限的……       那怎么办?放弃吗?不!放弃就不是黑客了!于是我把它的网管大师连窝端!下载到我的U盘上,回家慢慢研究去了……工夫不负有心人!经过将近5天的时间,我终于一一找到了解决办法!下面的三个漏洞,便因此而来。 第一招:釜底抽薪(软件设置模块漏洞)       还记得我们上面的那第三个想法吧?通过这个漏洞,你就可以把自己这台机器的收费标准给改了!呵呵!是不是很心动呀?往下看…       话说我将网管大师端到家之后,就开始刻苦研究!由于暂时也没什么思路,先用WinHex反编译网管大师目录下的每一个文件,就开始看网管大师的使用方法,并实验它的一些功能。其中我最感兴趣的当然是怎样更改收费标准,于是就操作了一便……恩,不错!我那台在VMware里的虚拟电脑的收费标准确实变了,可是这管理员都改不了的设置,我又有什么办法?而且操作完毕后,WinHex只提醒几个无关紧要文件有变化,根本没记录我的设置呀!不可能,得到网管大师得目录下看看!没想到这不看不知道,一看太奇妙了!网管大师竟在它的目录下生成了一个叫netmoney.ini的文件!打开看看,正是我刚才所做的更改收费标准的设置!(如图4) 图4'800')this.width='800';if(this.height>'800')this.height='800';" border=0>       为了保险,我又试了一遍。重新安装网管大师后,直接在其目录下新建一个netmoney.ini文件,并写入相关信息,到设置界面看看,成功!(如图5) 图5'800')this.width='800';if(this.height>'800')this.height='800';" border=0>       到这,我又想到了安全卫士的安全状况。是不是网管大师也……       想不如做!于是拉出WinHex开始开工!在把其他文件一一排除后,最后把目标锁定在网管大师的scon.cfg文件上!又经过苦苦的对比,终于找到了网管大师关键性代码“onlyscon=0或1”!就是它,决定着网管大师是否可以多开,其中onlyscon=0代表可以多开,如果是1,就代表禁止多开(默认禁止)(如图6)。 图6'800')this.width='800';if(this.height>'800')this.height='800';" border=0>      在图中,大家也看到了除此之外网管大师的许多设置都在这里!下面就是我现在所知道的一些代码的意义,希望对大家有所帮助! computernum=20(网络内总共有20台机器) mintime=5(最少记时单位为5分钟) money=1.5(普通上机费1.5元/小时) timehint=1 netmoney=1.6(上网上机费1.6元/小时) soundfile=C:\Windows\MEDIA\The Microsoft Sound.wav(主机限时时间以到,提示音乐为C:\Windows\MEDIA\The Microsoft Sound.wav) clienttime=5(最小记费时间单位为5分钟) isshowtj=1 minmoney=1.2(最小记费金额为1.2元) nightmoney=11.0(上网包夜费11.0元) whenierunnet=1 closeclientprogram=1 multilogin=0 minjifei=51(当前时间区为最小记费时间的51%开始记费。这个究竟是什么意思我也不太清楚。) timehyhint=0 inputuser=0 hotcolor=255 runcolor=15986797 onlyscon=1(是否可以在同一机器上运行多个美萍程序 0是 1否) hyjf=0 minhuafei=0.56(最底消费金额为0.56元,既所谓的开机费用。) socketnum=22136(集中管理模式下网络通讯端口号为22316) nightmoney1=10.0(普通包夜费10.0元) hintclient=1 autorun=0 enclosewindows=0 hymustpass=0 useipx=1 nhybfb=90 ykzkl=90 jkzkl=100 autotx=0 onclosecheck=0 ishyhost=1 AutoTxStop=1 IsUseRemote=0 IsRemoteUseChange=1 IsGroupOpen=0 onclosetime=10 untiltime=55(上机时间不得少于55分钟) PressTime=80(网管大师对会员卡磁条的响应时间为80毫秒) lowhytime=0 RemotePort=3333 setuppassword=x{z(设置网管大师密码,以加密,非明文!) exitpassword=x{z(退出网管大师密码,以加密,非明文!) time4=0:00:00-7:00:00(包夜时段为0:00:00-7:00:00) 需要说明的是,这个文件是可以用本文文档直接打开并修改的!但需要重起机才回生效。相信有了这些代码,你应该比管理员还牛了吧?呵呵!好了,别太高兴了,后面的更精彩哦! 第二招:借刀杀人(加密算法漏洞)       看过上面网管大师scon.cfg文件的“setuppassword=x{z”这段代码后,相信大家都迷茫了吧?“x{z”是什么呀?呵呵!不怪你看不懂,因为是加密的吗,呵呵!我们这节就是破解网管大师的加密算法!是不是血液澎湃了!别急,慢慢来。       关于加密算法,是我在不经意中发现的……那会我正没什么新的思路,于是就新建了一个管理员玩玩,名称123,密码111,而我又仔细地看了看后面以加密的密文,是3位!在新建一个!名称321,密码222,哈哈!你猜我看到了什么?密文仍然是3位!(如图7) 图7'800')this.width='800';if(this.height>'800')this.height='800';" border=0>   有的小菜说了“密文仍然是3位又怎么了?”你瞧,不懂了不是?呵呵!这就能说明美萍的加密算法应该是逐一字符加密的!而不是针对整个密码进行加密!也就是说,我们可以通过简单的逆运算或逐一实验来推出它每一个字符加密后的密文是什么,从而通过密文来直接推出明文!好了,既然知道原理了,就赶紧开工!      这里,我采用的是逐一实验法……       经过半小时的努力后,终于算出了所有加密后字符的密文!下面是我的工作成果,这可是要收钱的哦!嘿嘿! 明文密文对照表: =i    1=x    2={    3=z    4=}    5=|    6=    7=~    8=q    9=p    0=y    .=g  a=(    b=+    c=*    d=-    e=,    f=/    g=.    h=!    i=    j=#    k="    l=%    m=$    n='    o=&    p=9    q=8    r=;    s=:    t==    u=<    v=?    w=>    x=1    y=0    z=3    `=) 注意:字符“i”是“空格”的密文,反过来“空格”也是“i”的密文。关于字符“6”的密文,在本文文档里就是显示“”!并不是“空格”!用WinHex反编译保存管理员信息的manager.ini文件后,可得知字符“6”加密后的密文用16进制表示为“7F”。     使用方法:例如密码为123,那么加密后的密文就为x{z!反之依然通过! 例: 1.密码123 加密后密文x{z       2.密码x{z 加密后密文123       这回大家都清楚该怎么用了吧?想象一下,如果你入侵网吧主机,破解一个管理员密码后,在用这个管理员帐号给自己加1000元!嘿嘿!后果会怎样?管理员一定死悄悄了!呵呵!(不过你要还敢用那个会员的话,你也快了……) 第三招:瞒天过海(数据库漏洞)       改这个,删那个,都不如给自己加点会员实惠呀!可是会员怎么加,又是一个问题!最基本的就是美萍用的不是“*.mdb”标准数据库呀!怎么办?老方法!先用本文文档打开看看!(如图8) 图8'800')this.width='800';if(this.height>'800')this.height='800';" border=0>     会员名与加密后的密码现在已经在你的眼前了!干什么就是你的事了,呵呵!     有的朋友该问了“就是盗会员吗?太没意思了!有没有更实用点的呀?”是呀!我当时也是这么想的!所以才有下文呀!嘿嘿!     关于美萍的会员数据库,应该算是唯一一个没用明文保存的文件了……所以我们需要用专业点的反汇编软件WinHex来反汇编网管大师的会员数据库文件member81.cfg。反汇编后,除了会员名与加密后的密码是我们能看懂的,剩下几乎同等于天书!都是什么意思呀?通过我10分钟的努力,终于知道了会员金额记录的位置了!呵呵!别着急,让我们慢慢看!(如图9) 图9'800')this.width='800';if(this.height>'800')this.height='800';" border=0>     通过图解,相信大家最起码明白哪里是记录会员剩余金额的地方了吧?有的朋友又要问了“我看的还是迷迷糊糊!再说了,就算看懂了又有什么用?那个‘HD’是啥意思呀?”关于记录会员剩余金额的地方是有规律可寻的!一般会员名后面跟4-5组16进制码“01”的后面一般就是记录会员剩余金额的地方了!(如图10) 图10'800')this.width='800';if(this.height>'800')this.height='800';" border=0>       关于记录会员剩余金额的16进制信息,我也统计了一张表,希望对大家有用! 美萍会员金额于16进制信息对照表: 10元=20 41    20元=A0 41    30元=F0 41    40元=20 42    50元=48 42    60元=70 42    70元=8C 42 80元=A0 42    90元=B4 42  100元=C8 42  110元=DC 42  120元=F0 42    200元=48 43  300元=96 43 400元=C8 43  500元=FA 43  600元=16 44  700元=2F 44  800元=48 44       有了这些,我想应该能满足各位的需求了吧?       另外,关于修改会员数据库的剩余金额,是不上美萍的任何统计记录的!这点需要大家注意!不过这样也好,省得让可爱的MM网管天天为我们掏腰包了!呵呵!还有,修改会员数据库信息时对运行中的网管大师不会有任何影响!所以只要你不做的特别显眼,是绝对不会被发现的!嘿嘿!怎么样?   关于美萍网管系列软件的漏洞,到此就算完全讲完了!不知大家发现了没有,我所讲述的漏洞,利用的无非是关于软件设置等文件内容明文保存这一主要漏洞,来非常容易的修改美萍的重要设置!所以导致许多情况下,仅仅需要一个简单的本文文档就可以达到许多的目的!还望美萍公司下苦力做一些改进……   我写这篇文章的目的就是想提醒大家,只有我们想办法利用好身边的一些看似毫不相干的工具,去突破那些看似牢不可破的难题,才能带给我们真正意义上的成功于胜利!本文就是一个证明,看看美萍在简单的本文文档面前显得是多么脆弱!没有做不到,只有想不到!希望大家在黑客这条路上走的一路顺风!! ***************************************************** 后记:这是我06年1月份写的文章,由于自己技术的原因,一定会有一些错误的地方,还望斧正。另外这是我在邪恶八进制发表的第一篇作品,如有不对的地方还望大家多多指导,谢谢!
小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文搜集整理自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,请我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部