記滲透某韓國網站的過程 2015-10-16

作者:王松_Striker
郵箱:song@secbox.cn
團隊:安全盒子團隊

許久沒有上(ri)過網(zhan)了,前幾天朋友給我發來一個棒子站
大概看了一下,基本環境是:PHP+MYSQL+Apache,
大小寫切換了一下,把最后的php換成phP,得知系統為Linux

3011923461

隨便點了幾個鏈接,發現必須登陸才能訪問,

2309348545

會提示無法訪問然后跳到登陸頁面,
簡單測試了一下,發現登錄框存在注入

2530507252

得知表前綴為:g4_ 字段前綴是mb_
注入了一會兒發現尼瑪這條語句沒有帶入where mb_password啊…
就想著是分開判斷的, 這會就愁了啊, 學著各位論壇朋友的姿勢,
去樓上看了會AV, 頓時感覺神清氣爽思路清晰啊….
然后去掉PHP文件名,試了試,發現存在目錄遍歷。

394124798

找了找沒有找到什么能利用的東西,發現data目錄下面有一個cheditor4目錄,隨后就去百度了一下這個編輯器,

1188153793

果然收獲不小呀,發現這是一款韓國比較成熟的社區程序, G4, 于是就下了一套源碼, 簡單看了一下,

1893344349

果然是帳號密碼分開驗證的,
本來想裝一套上去的,可是卻發現各種報錯,那還是算了吧, 仔細看看代碼,
同時把代碼發給影闊了一份,@小影 ps:小影已經在兄弟連把菊花獻給我了!

3735883288

不過我們大影闊也確實沒有讓俺們失望, 說是找到了一個注入,表名可控

2877121967

于是趕緊操起神獸的大屌就上, 忙活了也無果,不過倒是爆出了數據庫名是wfutures,
最后我在找回密碼處存在SQL注入漏洞,在11行的mb_no可控且直接帶入查詢,

2496954502

瀏覽器上測試了一下,發現網站確實存在該漏洞。

145892585

于是乎~~~

2489165150

確定可以注入以后就開始構造語句注入帳號密碼,

3453756766

爆出來以后發現密碼不是16位,也不是32位…
然后就去代碼里面找密碼的加密方式, 發現

$mb_password=sql_password($mb_password);

找到sql_password的函數是這樣的,

270152205

可以看到是用mysql的加密方式來加密的,
在本機測試了一下, 發現Mysql加密是41位的,

522987966

可是我們注入出來的的確不是41位,于是注入注入語句換成select length(mb_password) from xxxx 發現的確是41位,

1462516748

于是用substr截取到前幾位 然后再截取到后幾位 得到密碼: AE68C3362DBF25A11909A3E4A47975D984CB4C57
解密的時候卻發現。。。。

933727823

然后我和小影都沒有思路了.. 于是我喊他去我寢室坐了一會兒,
抽根煙, 辦完事,
下樓以后發現…..

3583493481

但是該網站卻非常奇葩的在上傳以后隨機自定義了后綴名,并且不顯示后綴名,
和影闊鼓搗了好久沒有搞定,
發文章的時候還可以選擇首位包涵php文件,可是尼瑪只能包涵PHP文件…. 各種截斷都不可以,
雖然木有拿下shell,(可能會有后續,只是可能??!可能?。。。?br>但是也只能先這樣收尾了,
還有最后一個問題,這是影闊問我的,他說他現在電腦技術已經差不多了,
想問問我:

挖掘機技術到底哪家強?

一级A片不卡在线观看