| 今天我要給大家講解的是一個非常NB的入侵過程,我自己覺得非常的精彩,里面包含了非常多的知識點,這對與完全不懂php的朋友一樣能夠讀懂,并且按照里面的技術自己來進行入侵類似的網站,并且能夠得到非常好的效果。
現在SQL注入漏洞滿地揭是,并且開發出很多優秀的工具例如NBSI,和CASI等等。這對于我們這樣的菜鳥來說非常好了,因為完全避免了我們自己手動來一點點的猜測了,大大的提高了入侵率。。好了廢話不多說直接進入我們的文章,來一次夢幻之旅,相信你再這里一定能夠找到屬于你自己的東西。 一.基礎知識 首先我還是羅嗦一句php漏洞的形成的基本的原理,很多人認為在PHP MYSQL下注入一定要用到單引號,或者是沒有辦法像MSSQL那樣可以使用 “declare @a sysname select @a= exec master.dbo.xp_cmdshell @a”這類的命令來消除引號,其實這個是大家對注入的一種誤解或這說是對注入認識上的一種誤區。 為什么呢?因為不管在什么語言里,在引號(包括單雙)里,所有字符串均是常量,即使是dir這樣的命令,也緊緊是字符串而已,并不能當做命令執行,除非是這樣寫的代碼: $command = "dir c:\"; system($command); 否則僅僅只是字符串,當然,我們所說的命令不單指系統命令,我們這里說的是SQL語句,要讓我們構造的SQL語句正常執行,就不能讓我們的語句變成字符串,那么什么情況下會用單引號?什么時候不用呢?看看下面兩句SQL語句: ①SELECT * FROM article WHERE articleid=$id ②SELECT * FROM article WHERE articleid=$id 兩種寫法在各種程序中都很普遍,但安全性是不同的,第一句由于把變量$id放在一對單引號中,這樣使得我們所提交的變量都變成了字符串,即使包含了正確的SQL語句,也不會正常執行,而第二句不同,由于沒有把變量放進單引號中,那我們所提交的一切,只要包含空格,那空格后的變量都會作為SQL語句執行,我們針對兩個句子分別提交兩個成功注入的畸形語句,來看看不同之處。 ① 指定變量$id為: 1 and 1=2 union select * from user where userid=1/* 此時整個SQL語句變為: SELECT * FROM article WHERE articleid=1 and 1=2 union select * from user where userid=1/* ②指定變量$id為: 1 and 1=2 union select * from user where userid=1 此時整個SQL語句變為: SELECT * FROM article WHERE articleid=1 and 1=2 union select * from user where userid=1 看出來了嗎?由于第一句有單引號,我們必須先閉合前面的單引號,這樣才能使后面的語句作為SQL執行,并要注釋掉后面原SQL語句中的后面的單引號,這樣才可以成功注入,如果php.ini中magic_quotes_gpc設置為on或者變量前使用了addslashes()函數,我們的攻擊就會化為烏有,但第二句沒有用引號包含變量,那我們也不用考慮去閉合、注釋,直接提交就OK了。 知道原理了,我們就可以很容易的來入侵網站了,今天我們的目標是http://www.ycxljy.com/西陵區教育信息網,貌似看起來做的還挺全面的,如圖1所視,但是不知道安全性如何呢?我大概的看了一下新聞,http://www.ycxljy.com/show.php?id=1742從地址格式上來看是PHP的,我很習慣的在1742后面輸入了一個’,現在成了職業病了,結果卻大跌眼鏡,如圖二所視,報錯了,而且直接把web的路徑都給暴露出來了,路徑為F:\xljyxxw\show.php,有了這個東東我們下面的事就很好辦了,無非就是構造語句了,我們接著輸入and 1=1, and 1=2測試出有php注入漏洞。 下面詳細介紹一下我們要用到的一個mysql的函數load_file(),因為很多東西都用的到這個函數。我們知道,在SQL語句中,可以使用各種 MySQL內置的函數,經常使用的就是DATABASE()、USER()、SYSTEM_USER()、SESSION_USER()、 CURRENT_USER()這些函數來獲取一些系統的信息,還有一個應用得比較多的函數,就是load_file(),該函數的作用是讀入文件,并將文件內容作為一個字符串返回。 看到這里,應該可以想到我們可以做什么了,就是讀取一些機密文件,但是也是有條件限制的: · 欲讀取文件必須在服· 務器上 · 必須指· 定文件完整的路徑 · 必須有權限讀取并且文件必須完全可讀 · 欲讀取文件必須小于 max_allowed_packet 如果該文件不存在,或因為上面的任一原因而不能被讀出,函數返回空。比較難滿足的就是權限,在windows下,如果NTFS設置得當,是不能讀取相關的文件的,當遇到只有administrators才能訪問的文件,users就別想load_file出來。 在實際的注入中,我們有兩個難點需要解決: · 絕對物理路徑 · 構造有效的畸形語句 第一個絕對物理路徑我們已經解決了,構造有效的語句就是小意思了。 二.構造SQL注入語句 php注入與asp注入還是有區別的,我們要進行的是跨表查詢要用到UNION.UNION是連接兩條SQL語句,UNION后面查選的字段數量、字段類型都應該與前面SELECT一樣.通俗點說如果查尋對的話就出現正常的頁面.接著注入http://www.ycxljy.com/show.php?id=1742 and 1=2 union select 1,2,3,4,5,6,7,8,9,10/*出現的是錯誤的頁面.說明還沒有找對字段.不停的改變select后面的數字,當數字改變為19候出現了正常的頁面如圖三,我們直接讀取用戶和密碼,經過N多測試終于找到了我就直接把地址給出http://www.ycxljy.com/show.php?id=1742 and 1=2 union select 1,username,3,4,5,password,7,8,9,10 from user/*如圖4,得到了用戶名是admin007,密碼是我是中國人。。。。真變態啊。下面我們直接進入后臺http://www.ycxljy.com/admin/ 然后輸入我們得到的用戶和密碼,呵呵登陸成功如圖5。我們點擊添加資料,呵呵出現了一個可以上傳的地方如圖6,我們直接把我們的php上傳我以為到這里入侵就結束了,但是結果往往不是那么簡單的,我們得到了失敗的提示如圖7到這里看來這條路走不通了,我們繼續走load_file()的道路吧。 三.另外的思路 看來后臺是沒有什么可以利用的了,我們還是用我們以前介紹的load_file()來入侵吧,我們構造語句。因為從暴錯的路徑上來看是windows的,但是具體是什么版本到現在我還沒有弄清楚,我們下面來讀取c:\boot.ini文件就可以得到windows操作系統的版本了,具體的構造語句如下http://www.ycxljy.com/show.php?id=1742 and 1=2 union select 1,2,3,4,5,load_file(char(99,58,92,98,111,111,116,46,105,110,105)),7,8,9,10/* 如圖8得到了windows的操作系統為Windows Server 2003, Enterprise的,下面我們就不用手動的方法了,相信菜鳥朋友也不會看清楚,我直接用CASI4.0來進行下面的操作,輸入有漏洞的地址,然后點 ScanNum如圖9,我們點CASI的暴代碼按鈕,我們在目標文件絕對路徑中輸入我們得到的路徑F:\xljyxxw\show.php,插入位置選擇 9,如圖10我們得到了show.php的源代碼,順藤摸瓜看代碼最后在F:\xljyxxw\bbs\admin\config.php中找到了 root的密碼為junly608,但是用Mysql連接的時候說錯誤,估計防火墻過濾了。我們繼續用CASI的得到webshell功能,結果也沒有得到webshell,現在入侵一切進入了一個無底的黑洞了。暫時沒有了思路,和CnhCerKF聊了半天,也沒有找到好辦法。一個小時的就這樣過去了,算了陪老婆睡覺吧。也許明天就能有思路了。 四.最后的思路 沒辦法,繼續用admin007密碼我是中國人登陸到后臺看了一下,我上次沒有看到可以上傳圖片的,我也試了一下用php gif的方法,也失敗了。我無意的看到了上傳的目錄是img下。我就輸入http://www.ycxljy.com/img/結果出呼了我的意料,如圖10,我暈原來是目錄設置錯誤了,可以讀取img的目錄下的文件,我仔細找了半天,我靠竟然有以外收獲,我說我以前的后臺不能上傳文件呢,原來早就有人捷足先登了,如圖11,有人上傳了okphp.php的文件,到這里思路就清楚了,我們直接輸入http://www.ycxljy.com/img/okphp.php結果需要密碼,但是沒關系我們可以讀取okphp.php的文件拿到密碼不就可以登陸了嘛?okphp.php的具體路徑是F:\xljyxxw\img\ okphp.php,如圖12,我們已經得到了源文件,我靠,結果卻又讓我失望了,為什么,你一次一次的給我希望又一次一次的摧殘我,原來是源文件加密了,這可如何是好啊?沒辦法了,因為我雖然懂PHP腳本但是還沒有自己解過密,我自己也沒有當真,就沒有當回事,直接把這個東西發到了www.chinaunix.com上面,讓他們來解吧,果然不到20分鐘的時間就有人回復了,還真快,告訴我如何解密,原來這么簡單,都怪我太大意了,如圖13我們已經知道如何解了,我們直接就把源代碼輸入到Zend里面,然后在我自己構件的apache php mysql平臺上執行就得到了如圖14的結果。我點擊右鍵查看源代碼,呵呵,我們需要的結果都出來了,如圖15。我們趕緊輸入密碼dhyhack,如圖16登陸成功.呵呵終于經過艱難萬苦得到了webshell。 具體的提權交給大家去做吧。我們總結一下我們的思路首先找到PHP注入點->登陸后臺->上傳PHPWEBshell結果失敗了->利用load_file()函數讀取一些重要的文件->找到服務器目錄設置不嚴格的權限得到了別的黑客的后門->解密以后得到密碼->得到webshell,看著非常簡單,其實非常的難,一步一步的銜接沒有我文章寫的那么簡單,我是詳細分析了很長時間才最終的得到webshell的,我的意思不是說我多牛X,我說的就是入侵就像羅積木只有一點點的積累才能最終得到你所想要的結果。 |
免責聲明:本站部分文章和圖片均來自用戶投稿和網絡收集,旨在傳播知識,文章和圖片版權歸原作者及原出處所有,僅供學習與參考,請勿用于商業用途,如果損害了您的權利,請聯系我們及時修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創業、互聯網等領域,為您提供最新最全的互聯網資訊,幫助站長轉型升級,為互聯網創業者提供更加優質的創業信息和品牌營銷服務,與站長一起進步!讓互聯網創業者不再孤獨!
掃一掃,關注站長網微信
大家都在看
