安全检测某技术学院

发布者: 笨牛网安全中心 2010年01月15日围观次点赞:0

　　PS:(以前的垃圾文章，小组成立这么久了，总不能什么都不发吧!最近也米有写新的)

　　前言：寝室米有电，我和朋友在上网玩游戏呢!静流说要搞站，本来是准备搞TCL的，但是关于那个站点的资料在我本本里面，所以很郁闷。(下次去网吧带上)静流又给我了一个注射点，某技术学院的!于是开始了!(只是回忆，全部屏蔽)

　　我粗略的看了下，存在注射，ping不通，网站程序虽然不怎么好，但是后来发现服务器的安全作的还是可以的!我判断了下长度，order by 5 正常，继续增加，order by 10，仍然正常，我直接提交25，错误了，还把路径给泄露了，哎，真是不该啊!最后判断长度在22，出现了几个数字，现在我也忘记了，假设3，6，9吧!我用老办法 user()和 version()

　　替换这几个数字，意思我不用说了吧

　　返回信息如下，

　　root@localhost

　　4.0.41-community-nt

　　我们可以看出是root权限，我们可以去load_file()，如果条件允许我们还可以into outfile搞到一句话shell，这里粗略介绍一下啊!这个系统是windows系统，最后得知是2003!

　　这时候我给静流说兵分两路，他从后台下手，我从root下手!于是我开始去读取信息，首先是

　　c:\boot.ini 查看一下系统信息，最后得知是2003的服务器!继续，magic_quotes_gpc=on

　　汗!我咋从来米有人品碰到off的呢?算了读取root吧!看看能不能连接鸟，上次碰到一个能连接的!

　　刚开始的时候我们爆出了路径，于是我们将那个路径转换成16进制的，

　　E：\wwwroot\XX\wwwroot\soft\XX.php,这里我是假设的，懒得去再看第二次了!转换为16进制之后去提交，这时候是空白的!所以我们要去查看源文件，可以得知root密码存放的地方!于是继续，读取config.ini.php的文件，返回后仍然查看源文件，内容如下：

　　$DBUSER="root";

　　$DBPWD="123123";

　　$DBNAME="12323"; (处理过了)

　　连接了下，果然是连接不上!网站地址后面加了个phpmyadmin，有这个地址，但是无法访问，严重郁闷啊!

　　正在这个时候，静流给我发了个连接说是猜到了表名，米有猜到字段，我汗!http://www.xxxx.com/news.php?id=123/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/from/**/XX_adminuser/*

　　这时候我看了下，从后台读取字段显然是不可能的，静流不会米有去看的!这时候我们要去凭着自己的感觉去猜测了，有时候这样也是在增加自己的经验，首先常用的username，password 以及name或者pass统统排除，自己去猜测下，经过我几次的判断，字段分别为XX_adminname和XX_adminpass，幸亏不是太麻烦，曾经碰到过猜测过半个小时的。提交得到管理员账号和密码，扔个静流让他去破解，同时我找了下后台，后面加上个admin，显示无权访问，那就说明存在这个目录，继续login.php不行!试了几次后台地址为admin/XXX/admin_login.php.静流破解密码后给了我，于是我们进了后台看了看，增加了新闻，成功上传了一个php安全!