搜索
查看: 870|回复: 0

实战检测群内某黑阔发的注入站

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2015-10-13 23:23:43 | 显示全部楼层 |阅读模式
群里某黑阔发了个注入站。看了看是mysql4.0网上资料不多。就发出来个大家看看。



看大家讨论的很有劲。。。小弟就来试了一把。




注入点:http://www.konzern.com.cn/about/index.php?id=1

手工注入了下    存在注入
   



mysql版本是4.1的      不是5.0以上的    手工注入语句不同。
不过看了看是root权限

那么咱们来上sql杀器      sqlmap
这里有个sqlmap的参数    好像有很多人不知道吧。   --sql-shell



ok      可以哈       来看一下数据库版本!


       需要读取一下数据库配置文件     config.php     conn.php。。。。。

咱们找一下绝对路径吧!


读一下这个文件




读这个配置文件



读一下试试


好吧      果断换思路!
另一边 穿山甲已经注入出来:


可是后台没有      
然后我看了看那个配置文件的路径不会就是后台路径吧
咱们来试试!


果然是后台




成功登陆!


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?Join BUC

x
过段时间可能会取消签到功能了
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表