山穷水尽的突破
以前的黑x中有对Php的注射的许多先容,我等菜鸟也非常心痒,于是趁着有点时间就想实习实习在黑x里学的一些东西。
目标当时是选很经典的Php下载体系夜猫了,因为我没有Php和Mysql的测试环境,只有选这个布局比力熟悉的体系了,呵呵^_^。在google里搜索/down/show.php?id=,有几个如许的体系,可是测试了许多,却少有可以union出预期的结果的,都是union到50多个字段都不出结果,应该是Mysql不支持union查询的结果。又不乐意去像access一样推测管理员密码,来由很简单,有了强大的load_file函数为什么还有做这些无聊的事情呢?有了密码不肯定晓得后台,有了后台不肯定有上传,有……忧郁,总之就是想找到一个支持union和load_file的体系好悦目看,一睹传说中的php注入直接得到体系权限的强大威力。
呵呵,工夫不负故意人,还真让我找到了一个。直接在url的id后加'如图1。哈哈,晓得了是windows主机,还有绝对途径,呵呵!再判断1=1与1=2返回的页面基本晓得漏洞存在。可是不晓得支不支持union啊,顿时在背面顺次递增提交and 1=2 union select到20的时候返回正常页面如图2。哈哈!高兴Ing!凭据显示的字段显示,9那个中央是软件先容肯定是字符的了,可以用load_file()更换了。由于已经晓得这个下载体系的敏感文件globl.asp,config.inc.php,就辨别读出来了。哈哈竟然得到root的密码啊,如图3,顺利多了!还有默许的后台,可是表好象被自新了,不是默许的字段与表名了。可是我们有load_file()啊,读取那个/admin/user.php(就是得到的后台登陆),细致视察几个读取数据的中央,公然有了表名和字段!顿时union查询出用户密码登陆,如图4。后台有点大略,基础没有上传的中央。可是没有干系,我们有root数据库密码啊!我有Root我怕谁?
开端乐成,整理思绪先(好象很简单啊,就是以前妙手所做的简单重复嘛!但是……固然没这么简单了,不然也不会有这篇文章了)。有了Root等数据库密码,可以试试远程毗连mysql,导出个webshell就不错了。也可以在浏览器提交,但是这里有个Php的设置题目,如果那个magic_qutoes_gpc=on为翻开的话,浏览器提交给服务器的变量都会被处理的,备份webshell基本就不行能了(除非你浏览器里提交的途径不包含被过滤的字符,但好象是不行能的)。如果开了对管理员极为方便(固然也对我们)的Phpmyadmin,那也可以很简单的备份得到webshell!。
废话不说了,这么久还没有进行主机探测呢,如今该看看了。翻开x-scan选择只扫开放服务,因为这些已经够了,不行能给你一些n年前的溢出吧,呵呵^_^。等了一会看结果,晕!只开了80,21端口。理想中的3306没有扫到,侥幸地telnet他的3306端口,(这台主机好象有措施防备扫描。)结果还是没有!忧郁!远程登陆不行能了!那就看看Php.ini的设置吧,推测了频频Php.ini的位置,最后发明是c:\winnt\php.ini,转换下用load_file()读出来,公然是magic_qutoes_gpc=on如图5。那只有看看有没有Phpmyadmin了,于是找到他的ip,在背面加上Phpmyadmin/,这是Phpmyadmin的默许目录,但是,最后一丝希望也被毁灭了!公然不存在,返回404!
基本上的经典招式都用完了,我也晕了。我们注入只是得到了敏感的密码信息,一些敏感文件信息,主机已经屏蔽了3306端口,也不存在Phpmyadmin,没有措施数据库备份得到webshell了!菜鸟的入侵也已经日暮途穷。忧郁Ing!
中间就如许停了一段时间,乃至遗忘了这次入侵。但是最近把以前的黑x拿出来复习,突然看到紫幻年老提到的关于serveru的远程管理缺陷。只要webshell读取ServUAdmin.ini加密密码就可以当地更换拿到serveru的远程管理权限。注意!是只要读到的权限就可以啊!想到什么没有,希望注入漏洞还在,哈哈,不消多说了,顿时将C:\program files\Serv-U\ServUAdmin.ini转换成67,58,92,112,114,111,103,114,97,109,32,102,105,108,101,115,92,83,
101,114,118,45,85,92,83,101,114,118,85,65,100,109,105,110,46,105,110,105
放在load_file(char())函数里提交。惋惜我们的运气不好啊,没有那个密码,不外注意到没有,我们素质上已经拿到了只读的体系权限的webshell啊!(嘿嘿,有点稀罕吧!)因为是mysql函数所以只有读取的权限,他读取时用的mysql服务的权限,固然是体系权限了!毫不夷由,顿时找其他的敏感信息存在的文件,读取C:\program files\Serv-U\ServUDaemon.ini得到了许多多少东西,如图6!有用户的敏感信息啊!得到了全部的用户名,我们可不行以凭据已经得到的数据库的密码信息和后台密码等信息找个字典挂上去猜那个对网站目录有权限的www帐户的密码啊,猜到了不就可以上传php木马了。但是我没有,人家有防备的,我猜了一次就被封IP了^_^。不外这里有已经加密的密码,正好最近Hak_Ban给我了一个暴力server-u东西,只能猜数字密码,很快的哦~顿时弄到肉鸡上跑密码!(尽管偶不喜欢暴力,但是运气好的话也很方便的,为什么不试试呢?)
暴力的同时我也没有闲着,顿时用我们得到的另类只读webshell恣意的刺探体系!起首提交
view-source:http://www.asianheros.com/down/show.php?id=105%20and%201=2%20union
%20select%201,2,3,4,5,6,7,8,9,10,11,load_file(char(100,58,92,119,101,98,92,97,104,99,115,
92,100,111,119,110,92,115,104,111,119,46,112,104,112)),13,14,15,16,17,18,19,20
也就是load_file()读取他的d:\web\ahcs\down\show.php,得到了一些好东西ftp://ahgame:ahgam
edown@61.241.130.38:33333/".$downurl;
ftp://ahlt:ahlt@61.241.130.38:33333/".$downurl;
"update $down_table SET downnum=".$downnum." where id=$id";
等其他紧张的信息。哈哈~~不外还有其他的啊,譬如那个flashftp的sites.dat的文件,不外目录很庞大,一般管理员也不会在网站上上传东西,有耐烦的话可以找找,这些有宁静缺陷的配置文件本身就是很大的打破口,这里提出来的意思就是不要局限于牢固的思维,黑客不能缺乏想象力(不是我说的!)。呵呵,如今既然玩就要玩大啊!
如今看看站点本身,偶不玩单纯的Php注入了!前阵子旁注很盛行,那我们也可以用load_file()如许玩玩啊!先进行一下信息的刺探!拿出域名查询东西(当时的黑站必备东西啊),得到了一些主机的信息,比力体贴的是他有几个站点在上边!如图7,嘿嘿,域名很少啊!估计是本身的主机!有3个站,其他的站点内里也许有比力有意思的东东哦。随便找个,呵呵,又是Php的,顿时找个有参数通报的页面出来,哈哈,又有个雷同的下载体系,/show.php?id=305后加'暴出了途径,以为可以像前面一样union然后暴出内容呢,结果发明版本太低不支持union,一台主机怎样会两种结果?以前这时候会很忧郁,但是如今没干系了!我们有"只读webshell"呢,读出来他的配置文件发明数据库公然不在一个呆板上!得到的敏感信息:
$dbhost = "61.241.x.31"; // 数据库主机名
$dbuser = "mxhah"; // 数据库用户名
$dbpasswd = "07448"; // 数据库密码
$dbname = "down"; // 数据库名
如今不想连上去,网站还有几个其他的模块呢!于是跑去读了一些文件的原代码,屡试不爽啊!已经没有敏感信息瞒得住我们的眼睛,整个主机上的文件因为这个注入点的存在而没有任何宁静性可言了。如果是假造主机的话,不说大家也晓得会怎样样了。
已经刺探出这么多的信息了,发明数据库密码等很有纪律哦,有兴趣的可以社会工程学试下,serveru的密码暴力中,整个体系的缺陷也慢慢出现,得到一个shell什么的不是题目了!由于只是学习,入侵到这里也该结束了,因为是个大型站点,给管理员发了个邮件提示了一下走人了。
这次理论没有什么技能可言,若给你一点思绪这文章就有存在的价值了。有年老说过黑客不能缺乏想象力,有什么题目接待来x论坛讨论。(Su-Crack.exe暴力东西本文中有收录。)
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
