今天我要給大家講解的是一個(gè)非常NB的入侵過(guò)程，我自己覺(jué)得非常的精彩，里面包含了非常多的知識(shí)點(diǎn)，這對(duì)與完全不懂php的朋友一樣能夠讀懂，并且按照里面的技術(shù)自己來(lái)進(jìn)行入侵類(lèi)似的網(wǎng)站，并且能夠得到非常好的效果。

現(xiàn)在SQL注入漏洞滿(mǎn)地揭是，并且開(kāi)發(fā)出很多優(yōu)秀的工具例如NBSI，和CASI等等。這對(duì)于我們這樣的菜鳥(niǎo)來(lái)說(shuō)非常好了，因?yàn)橥耆苊饬宋覀冏约菏謩?dòng)來(lái)一點(diǎn)點(diǎn)的猜測(cè)了，大大的提高了入侵率。。好了廢話(huà)不多說(shuō)直接進(jìn)入我們的文章，來(lái)一次夢(mèng)幻之旅，相信你再這里一定能夠找到屬于你自己的東西。

一．基礎(chǔ)知識(shí)

首先我還是羅嗦一句php漏洞的形成的基本的原理，很多人認(rèn)為在PHP MYSQL下注入一定要用到單引號(hào)，或者是沒(méi)有辦法像MSSQL那樣可以使用 “declare @a sysname select @a= exec master.dbo.xp_cmdshell @a”這類(lèi)的命令來(lái)消除引號(hào)，其實(shí)這個(gè)是大家對(duì)注入的一種誤解或這說(shuō)是對(duì)注入認(rèn)識(shí)上的一種誤區(qū)。

　　為什么呢？因?yàn)椴还茉谑裁凑Z(yǔ)言里，在引號(hào)（包括單雙）里，所有字符串均是常量，即使是dir這樣的命令，也緊緊是字符串而已，并不能當(dāng)做命令執(zhí)行，除非是這樣寫(xiě)的代碼：

$command = "dir c:\";

system($command);

　　否則僅僅只是字符串，當(dāng)然，我們所說(shuō)的命令不單指系統(tǒng)命令，我們這里說(shuō)的是SQL語(yǔ)句，要讓我們構(gòu)造的SQL語(yǔ)句正常執(zhí)行，就不能讓我們的語(yǔ)句變成字符串，那么什么情況下會(huì)用單引號(hào)？什么時(shí)候不用呢？看看下面兩句SQL語(yǔ)句：

①SELECT * FROM article WHERE articleid=$id

②SELECT * FROM article WHERE articleid=$id

　　兩種寫(xiě)法在各種程序中都很普遍，但安全性是不同的，第一句由于把變量$id放在一對(duì)單引號(hào)中，這樣使得我們所提交的變量都變成了字符串，即使包含了正確的SQL語(yǔ)句，也不會(huì)正常執(zhí)行，而第二句不同，由于沒(méi)有把變量放進(jìn)單引號(hào)中，那我們所提交的一切，只要包含空格，那空格后的變量都會(huì)作為SQL語(yǔ)句執(zhí)行，我們針對(duì)兩個(gè)句子分別提交兩個(gè)成功注入的畸形語(yǔ)句，來(lái)看看不同之處。

① 指定變量$id為：

1 and 1=2 union select * from user where userid=1/*

此時(shí)整個(gè)SQL語(yǔ)句變?yōu)椋?

SELECT * FROM article WHERE articleid=1 and 1=2 union select * from user where userid=1/*

②指定變量$id為：

1 and 1=2 union select * from user where userid=1

此時(shí)整個(gè)SQL語(yǔ)句變?yōu)椋?

SELECT * FROM article WHERE articleid=1 and 1=2 union select * from user where userid=1

看出來(lái)了嗎？由于第一句有單引號(hào)，我們必須先閉合前面的單引號(hào)，這樣才能使后面的語(yǔ)句作為SQL執(zhí)行，并要注釋掉后面原SQL語(yǔ)句中的后面的單引號(hào)，這樣才可以成功注入，如果php.ini中magic_quotes_gpc設(shè)置為on或者變量前使用了addslashes()函數(shù)，我們的攻擊就會(huì)化為烏有，但第二句沒(méi)有用引號(hào)包含變量，那我們也不用考慮去閉合、注釋?zhuān)苯犹峤痪蚈K了。

知道原理了，我們就可以很容易的來(lái)入侵網(wǎng)站了，今天我們的目標(biāo)是http://www.ycxljy.com/西陵區(qū)教育信息網(wǎng)，貌似看起來(lái)做的還挺全面的，如圖1所視，但是不知道安全性如何呢？我大概的看了一下新聞，http://www.ycxljy.com/show.php?id=1742從地址格式上來(lái)看是PHP的，我很習(xí)慣的在1742后面輸入了一個(gè)’，現(xiàn)在成了職業(yè)病了，結(jié)果卻大跌眼鏡，如圖二所視，報(bào)錯(cuò)了，而且直接把web的路徑都給暴露出來(lái)了，路徑為F:\xljyxxw\show.php，有了這個(gè)東東我們下面的事就很好辦了，無(wú)非就是構(gòu)造語(yǔ)句了，我們接著輸入and 1=1, and 1=2測(cè)試出有php注入漏洞。

下面詳細(xì)介紹一下我們要用到的一個(gè)mysql的函數(shù)load_file()，因?yàn)楹芏鄸|西都用的到這個(gè)函數(shù)。我們知道，在SQL語(yǔ)句中，可以使用各種 MySQL內(nèi)置的函數(shù)，經(jīng)常使用的就是DATABASE()、USER()、SYSTEM_USER()、SESSION_USER()、 CURRENT_USER()這些函數(shù)來(lái)獲取一些系統(tǒng)的信息，還有一個(gè)應(yīng)用得比較多的函數(shù)，就是load_file()，該函數(shù)的作用是讀入文件，并將文件內(nèi)容作為一個(gè)字符串返回。

　　看到這里，應(yīng)該可以想到我們可以做什么了，就是讀取一些機(jī)密文件，但是也是有條件限制的：

· 欲讀取文件必須在服· 務(wù)器上

· 必須指· 定文件完整的路徑

· 必須有權(quán)限讀取并且文件必須完全可讀

· 欲讀取文件必須小于 max_allowed_packet

　　如果該文件不存在，或因?yàn)樯厦娴娜我辉蚨荒鼙蛔x出，函數(shù)返回空。比較難滿(mǎn)足的就是權(quán)限，在windows下，如果NTFS設(shè)置得當(dāng)，是不能讀取相關(guān)的文件的，當(dāng)遇到只有administrators才能訪(fǎng)問(wèn)的文件，users就別想load_file出來(lái)。

　　在實(shí)際的注入中，我們有兩個(gè)難點(diǎn)需要解決：

· 絕對(duì)物理路徑

· 構(gòu)造有效的畸形語(yǔ)句

第一個(gè)絕對(duì)物理路徑我們已經(jīng)解決了，構(gòu)造有效的語(yǔ)句就是小意思了。

二．構(gòu)造SQL注入語(yǔ)句

php注入與asp注入還是有區(qū)別的,我們要進(jìn)行的是跨表查詢(xún)要用到UNION.UNION是連接兩條SQL語(yǔ)句,UNION后面查選的字段數(shù)量、字段類(lèi)型都應(yīng)該與前面SELECT一樣.通俗點(diǎn)說(shuō)如果查尋對(duì)的話(huà)就出現(xiàn)正常的頁(yè)面.接著注入http://www.ycxljy.com/show.php?id=1742 and 1=2 union select 1,2,3,4,5,6,7,8,9,10/*出現(xiàn)的是錯(cuò)誤的頁(yè)面.說(shuō)明還沒(méi)有找對(duì)字段.不停的改變select后面的數(shù)字,當(dāng)數(shù)字改變?yōu)?9候出現(xiàn)了正常的頁(yè)面如圖三，我們直接讀取用戶(hù)和密碼，經(jīng)過(guò)N多測(cè)試終于找到了我就直接把地址給出http://www.ycxljy.com/show.php?id=1742 and 1=2 union select 1,username,3,4,5,password,7,8,9,10 from user/*如圖4，得到了用戶(hù)名是admin007，密碼是我是中國(guó)人。。。。真變態(tài)啊。下面我們直接進(jìn)入后臺(tái)http://www.ycxljy.com/admin/ 然后輸入我們得到的用戶(hù)和密碼，呵呵登陸成功如圖5。我們點(diǎn)擊添加資料，呵呵出現(xiàn)了一個(gè)可以上傳的地方如圖6，我們直接把我們的php上傳我以為到這里入侵就結(jié)束了，但是結(jié)果往往不是那么簡(jiǎn)單的，我們得到了失敗的提示如圖7到這里看來(lái)這條路走不通了，我們繼續(xù)走load_file()的道路吧。

三．另外的思路

看來(lái)后臺(tái)是沒(méi)有什么可以利用的了，我們還是用我們以前介紹的load_file()來(lái)入侵吧，我們構(gòu)造語(yǔ)句。因?yàn)閺谋╁e(cuò)的路徑上來(lái)看是windows的，但是具體是什么版本到現(xiàn)在我還沒(méi)有弄清楚，我們下面來(lái)讀取c:\boot.ini文件就可以得到windows操作系統(tǒng)的版本了，具體的構(gòu)造語(yǔ)句如下http://www.ycxljy.com/show.php?id=1742 and 1=2 union select 1,2,3,4,5,load_file(char(99,58,92,98,111,111,116,46,105,110,105)),7,8,9,10/*

如圖8得到了windows的操作系統(tǒng)為Windows Server 2003, Enterprise的，下面我們就不用手動(dòng)的方法了，相信菜鳥(niǎo)朋友也不會(huì)看清楚，我直接用CASI4.0來(lái)進(jìn)行下面的操作，輸入有漏洞的地址，然后點(diǎn) ScanNum如圖9，我們點(diǎn)CASI的暴代碼按鈕，我們?cè)谀繕?biāo)文件絕對(duì)路徑中輸入我們得到的路徑F:\xljyxxw\show.php，插入位置選擇 9，如圖10我們得到了show.php的源代碼，順藤摸瓜看代碼最后在F:\xljyxxw\bbs\admin\config.php中找到了 root的密碼為junly608,但是用Mysql連接的時(shí)候說(shuō)錯(cuò)誤，估計(jì)防火墻過(guò)濾了。我們繼續(xù)用CASI的得到webshell功能，結(jié)果也沒(méi)有得到webshell，現(xiàn)在入侵一切進(jìn)入了一個(gè)無(wú)底的黑洞了。暫時(shí)沒(méi)有了思路，和CnhCerKF聊了半天，也沒(méi)有找到好辦法。一個(gè)小時(shí)的就這樣過(guò)去了，算了陪老婆睡覺(jué)吧。也許明天就能有思路了。

四．最后的思路

沒(méi)辦法，繼續(xù)用admin007密碼我是中國(guó)人登陸到后臺(tái)看了一下，我上次沒(méi)有看到可以上傳圖片的，我也試了一下用php gif的方法，也失敗了。我無(wú)意的看到了上傳的目錄是img下。我就輸入http://www.ycxljy.com/img/結(jié)果出呼了我的意料，如圖10，我暈原來(lái)是目錄設(shè)置錯(cuò)誤了，可以讀取img的目錄下的文件，我仔細(xì)找了半天，我靠竟然有以外收獲，我說(shuō)我以前的后臺(tái)不能上傳文件呢，原來(lái)早就有人捷足先登了，如圖11，有人上傳了okphp.php的文件，到這里思路就清楚了，我們直接輸入http://www.ycxljy.com/img/okphp.php結(jié)果需要密碼，但是沒(méi)關(guān)系我們可以讀取okphp.php的文件拿到密碼不就可以登陸了嘛？okphp.php的具體路徑是F:\xljyxxw\img\ okphp.php,如圖12，我們已經(jīng)得到了源文件，我靠，結(jié)果卻又讓我失望了，為什么，你一次一次的給我希望又一次一次的摧殘我，原來(lái)是源文件加密了，這可如何是好?。繘](méi)辦法了，因?yàn)槲译m然懂PHP腳本但是還沒(méi)有自己解過(guò)密，我自己也沒(méi)有當(dāng)真，就沒(méi)有當(dāng)回事，直接把這個(gè)東西發(fā)到了www.chinaunix.com上面，讓他們來(lái)解吧，果然不到20分鐘的時(shí)間就有人回復(fù)了，還真快，告訴我如何解密，原來(lái)這么簡(jiǎn)單，都怪我太大意了，如圖13我們已經(jīng)知道如何解了，我們直接就把源代碼輸入到Zend里面，然后在我自己構(gòu)件的apache php mysql平臺(tái)上執(zhí)行就得到了如圖14的結(jié)果。我點(diǎn)擊右鍵查看源代碼，呵呵，我們需要的結(jié)果都出來(lái)了，如圖15。我們趕緊輸入密碼dhyhack,如圖16登陸成功.呵呵終于經(jīng)過(guò)艱難萬(wàn)苦得到了webshell。

具體的提權(quán)交給大家去做吧。我們總結(jié)一下我們的思路首先找到PHP注入點(diǎn)->登陸后臺(tái)->上傳PHPWEBshell結(jié)果失敗了->利用load_file()函數(shù)讀取一些重要的文件->找到服務(wù)器目錄設(shè)置不嚴(yán)格的權(quán)限得到了別的黑客的后門(mén)->解密以后得到密碼->得到webshell，看著非常簡(jiǎn)單，其實(shí)非常的難，一步一步的銜接沒(méi)有我文章寫(xiě)的那么簡(jiǎn)單，我是詳細(xì)分析了很長(zhǎng)時(shí)間才最終的得到webshell的，我的意思不是說(shuō)我多牛X，我說(shuō)的就是入侵就像羅積木只有一點(diǎn)點(diǎn)的積累才能最終得到你所想要的結(jié)果。

版權(quán)聲明：本站文章來(lái)源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來(lái)源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來(lái)源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來(lái)，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。