菜鸟跟我学php注入拿系统权限.docVIP

菜鸟跟我学php注入拿系统权限 本人喜欢看股票,呵呵,我很穷的:)网站收集的股票软件也是全国的精品,有些是要收费的.无奈我是平民出生,非常喜欢研究黑客知识,也积累了不少的经验.好的,看看网站的安全做的怎么样吧.如果能进去主机那网站所有的软件我都能免费下载啦,一阵坏笑~~~~~~~~~ 浏览下网站,整站做的还是很漂亮的.脚本用的是php的.扫描下开放的端口(图1),很明显主机安装了防火墙或者是进行了tcp/ip过滤.也告诉了我们比较有用的信息.21端口是serv-u6.0的,80端口是iis的.3306是mysql数据库,而且还开放了3389也就是终端.说明主机的配置是iis+php+mysql黄金组合.了解了大致的情况后,我们就来进行深入的入侵.在浏览网站的同时发现了主机有下载软件的地址http://xxx.xxx.xxx.xxx/down/show.php?id=26,在地址的后面加了个(图2) OH,MY GOD,连网站的物理地址也暴了出来.传说中的php注入?再来检测下,http://xxx.xxx.xxx.xxx/down/show.php?id=26 and 1=1返回正常页面,http://xxx.xxx.xxx.xxx/down/show.php?id=26 and 1=2,返回错误页面.ok,网站是100%存在php注入.图二也告诉了我们php.ini中display_errors = on.,php注入与asp注入还是有区别的,我们要进行的是跨表查询要用到UNION.UNION是连接两条SQL语句,UNION后面查选的字段数量、字段类型都应该与前面SELECT一样.通俗点说如果查寻对的话就出现正常的页面.接着注入http://xxx.xxx.xxx.xxx/down/show.php?id=26 and 1=2 union select 1,2,3,4,5.出现的是错误的页面.说明还没有找对字段.不停的改变select后面的数字,当数字改变为19候出现了正常的页面.(图3) .图中出现的数字代表不同的意思,如果知道程序的代码的话,用户名和密码是非常容易得到手的.9这个位置是文本的地方,也就是说可以显示我们想要的文件的内容.注入到这个地方我也知道了网站所用到的脚本程序是野猫下载系统.数字16是用户名字段username,15是密码字段password.好的,暴出它的用户名和密码, /down/show.php?id=26%20and%201=2%20union%20select%2051,19,18,17,username,password,14,13,12,11,10,9,8,7,6,5,4,3,2,1%20from%20down_user (图4),union在php注入中有个好处是直接可把密码暴出来.可惜的是这里的密码用md5加了密.放弃吗??做黑客是不能轻言放弃的.拿出宝刀md5crack,想不到的是管理员的密码是123321(图5),找到管理后台页面登陆.太好了,有添加软件的功能.直接上传经过浅蓝的辐射鱼修改angel的php木马(图6).成功得到了webshell(图7).下一步当然要向系统权限进军啦.找到config.ini.php配置文件,编辑得到mysql的密码,可惜的是localhost连接.外网是连接不上mysql的.用mysql提升权限暂时放在一边.主机不是开放了21端口吗?而且是serv-u6.0.并且serv-u6.0本地也存在提升权限的漏洞.可以看的出来入侵前收集信息的重要性了吧.浅蓝的辐射鱼修改的php木马本身自带了serv-u提升权限的exp啦,我们不需要再去找工具啦,呵呵,真方便.net user test test /add,net localgroup administrators test /add.(图8)我想这二句话地球人都看的懂吧.检查下看我们建立的管理员帐号是不是成功了,net user test(图9).ok,成功提升到管理员权限.网站不是开了终端吗,登陆进去看看有没有我喜欢的软件(图10).最后当然是檫pp啦!! 我这次能这么快拿到系统的权限,运气还是占了很大的成分.比如知道了网站使用的脚本程序,破解md5密码.如果不知道脚本程序,就拿不到用户名和密码.那我们应该怎么办呐,还是拿野猫下载系统来说吧,暴出了网站的物理路径,直接可以暴出config.ini.php的文件.构造语句已经是小意思了。config.ini.php配置文件中有mysql数据库的密码,有的主机可以外连有的不行.能外连的登陆进去写个php木马导出,同样可以那到webshell.在php的环境下提升权限的方法也很多啊!!mysql最进