审计3(由安装引起的服务器沦陷)

最新推荐文章于 2023-12-24 11:15:12 发布
最新推荐文章于 2023-12-24 11:15:12 发布
阅读量85 收藏
点赞数
原文链接:http://www.cnblogs.com/pojun/p/7306827.html
版权

首先贴出安装页面的代码:

  1 <?php
  2 
  3 if ( file_exists($_SERVER["DOCUMENT_ROOT"].'/sys/install.lock') ) {
  4     //header( "Location: ../index.php" );
  5 }
  6 require_once '../header.php';
  7 
  8 function check_writeable( $file ) {
  9     if ( file_exists( $file ) ) {
 10         if ( is_dir( $file ) ) {
 11             $dir = $file;
 12             if ( $fp = @fopen( "$dir/test.txt", 'w' ) ) {
 13                 @fclose( $fp );
 14                 @unlink( "$dir/test.txt" );
 15                 $writeable = 1;
 16             }
 17             else {
 18                 $writeable = 0;
 19             }
 20         }
 21         else {
 22             if ( $fp = @fopen( $file, 'a+' ) ) {
 23                 @fclose( $fp );
 24                 $writeable = 1;
 25             }
 26             else {
 27                 $writeable = 0;
 28             }
 29         }
 30     }
 31     else {
 32         $writeable = 2;
 33     }
 34     return $writeable;
 35 }
 36 
 37 $sys_info['mysql_ver']     = extension_loaded( 'mysql' ) ? 'OK' : 'NO';
 38 $sys_info['zlib']          = function_exists( 'gzclose' ) ? 'OK' : 'NO';
 39 $sys_info['gd']            = extension_loaded( "gd" ) ? 'OK' : 'NO';
 40 $sys_info['socket']        = function_exists( 'fsockopen' ) ? 'OK' : 'NO';
 41 $sys_info['curl_init']        = function_exists( 'curl_init' ) ? 'OK' : 'NO';
 42 
 43 echo '<div id="ourhp_er">';
 44 echo '<h1>系統環境</h1>';
 45 echo '<p>服務器操作系統:&nbsp;....................................................................&nbsp;'.PHP_OS.'</p>';
 46 echo '<p>Web 服務器:&nbsp;....................................................&nbsp;'.$_SERVER['SERVER_SOFTWARE'].'</p>';
 47 echo '<p>PHP 版本:&nbsp;....................................................................&nbsp;'.PHP_VERSION.'</p>';
 48 echo '<p>MySQL 版本:&nbsp;....................................................................&nbsp;'.$sys_info['mysql_ver'].'</p>';
 49 echo '<p>Zlib 支持:&nbsp;....................................................................&nbsp;'.$sys_info['zlib'].'</p>';
 50 echo '<p>GD2 支持:&nbsp;....................................................................&nbsp;'.$sys_info['gd'].'</p>';
 51 echo '<p>Socket 支持:&nbsp;....................................................................&nbsp;'.$sys_info['socket'].'</p>';
 52 echo '<p>curl 支持:&nbsp;....................................................................&nbsp;'.$sys_info['curl_init'].'</p>';
 53 echo '<h1>目錄權限</h1>';
 54 
 55 /* 检查目录 */
 56 $check_dirs = array (
 57     '../sys',
 58     '../uploads'
 59 );
 60 
 61 $i = 0;
 62 foreach ( $check_dirs as $dir ) {
 63     $full_dir = $dir;
 64     $check_writeable = check_writeable( $full_dir );
 65     if ( $check_writeable == '1' ) {
 66         echo "<p>".$check_dirs[$i]."&nbsp;...................................................................&nbsp;<font color='#00CC33'>可寫</font></p>";
 67     }
 68     elseif ( $check_writeable == '0' ) {
 69         echo "<p>".$check_dirs[$i]."&nbsp;...................................................................&nbsp;<font color='#ff0000'>不可寫</font></p>";
 70         $no_write = true;
 71     }
 72     elseif ( $check_writeable == '2' ) {
 73         echo "<p>".$check_dirs[$i]."&nbsp;...................................................................&nbsp;<b>不存在</b></p>";
 74         $no_write = true;
 75     }
 76     $i = $i + 1;
 77 }
 78 
 79 if ( $sys_info['gd'] == 'NO' || $sys_info['curl_init'] == 'NO' ) {
 80     exit( '組建不支持,無法安裝使用!' );
 81 }else if ( $check_writeable == '0' || $check_writeable == '2' ) {
 82     exit( '關鍵目錄不可寫,無法安裝使用!' );
 83 }
 84 
 85 if ( $_POST ) {
 86 
 87     if ( $_POST["dbhost"] == "" ) {
 88         exit( '数据库连接地址不能为空' );
 89     }elseif ( $_POST["dbuser"] == "" ) {
 90         exit( '数据库数据库登录名' );
 91     }elseif ( $_POST["dbname"] == "" ) {
 92         exit( '请先创建数据库名称' );
 93     }
 94 
 95     $dbhost = $_POST["dbhost"];
 96     $dbuser = $_POST["dbuser"];
 97     $dbpass = $_POST["dbpass"];
 98     $dbname = $_POST["dbname"];
 99 
100     $con = mysql_connect( $dbhost, $dbuser, $dbpass );
101     if ( !$con ) {
102         die( '数据库链接出错,请检查账号密码及地址是否正确: ' . mysql_error() );
103     }
104 
105     $result = mysql_query('show databases;') or die ( mysql_error() );;
106     While($row = mysql_fetch_assoc($result)){       
107         $data[] = $row['Database'];
108     }
109     unset($result, $row);
110     if (in_array(strtolower($dbname), $data)){
111         mysql_close();
112         echo "<script>if(!alert('數據庫已存在')){window.history.back(-1);}</script>";
113         exit();
114     }
115 
116     mysql_query( "CREATE DATABASE $dbname", $con ) or die ( mysql_error() );
117 
118     $str_tmp="<?php\r\n";
119     $str_end="?>";
120     $str_tmp.="\r\n";
121     $str_tmp.="error_reporting(0);\r\n";
122     $str_tmp.="\r\n";
123     $str_tmp.="if (!file_exists(\$_SERVER[\"DOCUMENT_ROOT\"].'/sys/install.lock')){\r\n\theader(\"Location: /install/install.php\");\r\nexit;\r\n}\r\n";
124     $str_tmp.="\r\n";
125     $str_tmp.="include_once('../sys/lib.php');\r\n";
126     $str_tmp.="\r\n";
127     $str_tmp.="\$host=\"$dbhost\"; \r\n";
128     $str_tmp.="\$username=\"$dbuser\"; \r\n";
129     $str_tmp.="\$password=\"$dbpass\"; \r\n";
130     $str_tmp.="\$database=\"$dbname\"; \r\n";
131     $str_tmp.="\r\n";
132     $str_tmp.="\$conn = mysql_connect(\$host,\$username,\$password);\r\n";
133     $str_tmp.="mysql_query('set names utf8',\$conn);\r\n";
134     $str_tmp.="mysql_select_db(\$database, \$conn) or die(mysql_error());\r\n";
135     $str_tmp.="if (!\$conn)\r\n";
136     $str_tmp.="{\r\n";
137     $str_tmp.="\tdie('Could not connect: ' . mysql_error());\r\n";
138     $str_tmp.="\texit;\r\n";
139     $str_tmp.="}\r\n";
140     $str_tmp.="\r\n";
141     $str_tmp.="session_start();\r\n";
142     $str_tmp.="\r\n";
143     $str_tmp.=$str_end;
144 
145     $fp=fopen( "../sys/config.php", "w" );
146     fwrite( $fp, $str_tmp );
147     fclose( $fp );
148 
149     //创建表
150     mysql_select_db( $dbname, $con );
151     mysql_query( "set names 'utf8'", $con );
152     //导入数据库
153     $sql=file_get_contents( "install.sql" );
154     $a=explode( ";", $sql );
155     foreach ( $a as $b ) {
156         mysql_query( $b.";" );
157     }
158     mysql_close( $con );
159     file_put_contents($_SERVER["DOCUMENT_ROOT"].'/sys/install.lock', 'virink');
160     echo "<script>if(!alert('安裝成功')){window.location.href='../index.php';}</script>";
161     exit;
162 }else {
163     echo "<form id='form1' name='form1' method='post' action=''>";
164     echo "<table width='100%' border='0' align='center' cellpadding='10' id='table'>";
165     echo "<tr>";
166     echo "<td colspan='2'><h1></h1></td>";
167     echo "</tr>";
168     echo "<tr>";
169     echo "<td><div align='right'>數據庫连接地址:</div></td>";
170     echo "<td><input name='dbhost' type='text' id='input' value='localhost'/> *</td>";
171     echo "</tr>";
172     echo "<tr>";
173     echo "<td><div align='right'>數據庫登錄名:</div></td>";
174     echo "<td><input name='dbuser' type='text' id='input' value='root'/> *</td>";
175     echo "</tr>";
176     echo "<tr>";
177     echo "<td><div align='right'>數據庫登錄密碼:</div></td>";
178     echo "<td><input name='dbpass' type='password' id='input' value='root'/> *</td>";
179     echo "</tr>";
180     echo "<tr>";
181     echo "<td><div align='right'>創建數據庫名稱:</div></td>";
182     echo "<td><input name='dbname' type='text' id='input' value='vauditdemo'/> *</td> ";
183     echo "</tr>";
184     echo "<tr>";
185     echo "<td></td>";
186     echo "<td><input type='submit' class='btn' name='Submit' value='安裝' /></td>";
187     echo "</tr>";
188     echo "</table>";
189     echo "</form>";
190 }
191 ?>
192 
193 
194 <?php
195 require_once '../footer.php';
196 ?>

判断是否存在安装过的    /sys/install.lock 文件,如果存在就跳到首页。但是并没有退出,下面的函数依然可以执行。

下面的函数判断了一些数据库存不存在,目录可不可写,组件是否支持等问题。

在110行发现,当发现数据库名存在时,直接exit()退出,不存在就创建数据库。但是并没有对传入的数据名名称进行过滤!(由此可以想办法插入一句话木马)

在146行发现,他把数据库名按照原字符串的形式写在了 ../sys/config.php文件中,由此可以判断一句话木马会进行解析。

构造payload:

mysql_query( "CREATE DATABASE $dbname", $con ) or die ( mysql_error() );

发现sql语句如果出错的话,就会执行 mysql_error而不会执行  CREATE DATABASE语句去创建数据库。

首先:1先要把or  die的语句注释  (mysql的语句用  注释语句有  # 、-- -  俩种方式)

   2.不能起和以前数据库的名相同的名字,因为上面判断了,如果数据库存在直接exit()

payload:   test1;-- -  先构造个大概然后观察sys/config.php继续构造

 1 <?php
 2 
 3 error_reporting(0);
 4 
 5 if (!file_exists($_SERVER["DOCUMENT_ROOT"].'/sys/install.lock')){
 6     header("Location: /install/install.php");
 7     exit;
 8 }
 9 
10 include_once($_SERVER["DOCUMENT_ROOT"].'/sys/lib.php');
11 
12 $host="localhost"; 
13 $username="root"; 
14 $password="root"; 
15 $database="vauditdemo"; 
16 $conn = mysql_connect($host,$username,$password);
17 mysql_query('set names utf8',$conn);
18 mysql_select_db($database, $conn) or die(mysql_error());
19 if (!$conn)
20 {
21     die('Could not connect: ' . mysql_error());
22     exit;
23 }
24 
25 session_start();
26 
27 ?>

继续构造 test1;-- -

首先需要

1.用双信号和分号闭合  test1;-- -”;

2.构造想执行的php语句  test1;-- -”;phpinfo();    记住语句结束一定要加分号,python写多了导致我php老忘写分号,的确很坑。

3.最后发现会成为这种形式 test1;-- -”;phpinfo(); ”;  后面会多个多余的分号和双信号导致php语句错误.

4.使用php单行注释// 来注释掉双引号和分号

最终的payload为   test1;-- -”;phpinfo();//

开始试验:

先进入intsall/install.php 需要将其中的

//header( "Location: ../index.php" );

语句先注释,因为到这儿会直接跳转到首页,影响抓安装页的包。所以先将其注释掉。

用burp抓包分析

将变量dbname改为自己的payload

,

发现sys/config.php文件中的数据库名称已改

访问该网址发现

 

攻击成功!

 

转载于:https://www.cnblogs.com/pojun/p/7306827.html

weixin_30458043
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
从SQL注入到服务器沦陷全过程剖析
08-13
内容:从SQL注入到服务器沦陷全过程剖析.caj
服务器安全测试.doc
06-08
),至此这台数据库服务器沦陷。(图2)(图3) 总结:虽然从上面这个IP段得到的存在SQL弱口令的服务器并不多,但如果存在弱口 令并且被攻击者利用,那对数据库服务器的打击将是毁灭性的,管理员们一定要加固数 据库的...
坚持#第260天~集群负载均衡和LAMP
libanxian9527的博客
01-03 330
集群: 思考哪些节点需要装mysql数据库? 答:需要装mysql数据库的节点有 定义:高可用的负载均衡。 集群成员: 两台数据节点  ndbd,数据存放的点,也是SQL存放的点,这个数据节点不止一个  10.14  10.15 两台SQL节点  mysqld要运行数据库mysqld,其他的不需要运行,SQL节点可以对外提供服务,其他人可以连接SQL节点,可读可写  10.12  10
数据库审计平台---基础环境部署
木苒的博客
08-17 2474
数据库审计平台 --- 介绍 数据库审计平台 --- 依赖环境部署 环境说明 操作系统 RedHat RedHat Enterprise Linux 7.4 软件版本 Python Python2.7(系统自带) Mongodb mongodb-linux-x8...
php使用include报错require_once(../include.php): failed to open stream: No such file or directo
weixin_33881140的博客
10-11 7171
引入路径的问题,建议加入include_once $_SERVER['DOCUMENT_ROOT']."/include.php";意思是获取网站根目中的include.php 截图如下:  
企业安全沦陷从内部开始
ToB公司的战略与经营
08-20 9807
说明:本篇文章版权由ECF和HP所有。        在E行网上看到一篇新闻:37岁的Jason Cornish于今年2月3日从一家麦当劳餐厅的网络登录进公司内网,删除了15个VMware虚拟主机系统,这些系统运行着公司的电子邮件、订单跟踪、金融等服务。此次攻击导致盐野义的业务停
红蓝对抗总结-蓝队
武天旭的博客
07-01 1411
复盘总结红蓝对抗结束后,应对各阶段进行充分、全面的复盘分析,提出整改措施。一般须遵循遗留最小风险和问题相对清零的原则持续优化防守策略,对不足之处进行整改,进而逐步提升防守水平。总结涉及以下方面:工作方案、组织管理、工作启动会、系统资产梳理、安全自查及优化、基础安全监测与防护设备的部署、安全意识、应急预案、注意事项、队伍协同、情报共享和使用、反制战术、防守作战指挥策略等。
网络安全应急响应----6、挖矿攻击应急响应
热门推荐
七天
03-21 1万+
文章目录一、挖矿木马简介1、挖矿流程2、挖矿木马的传播方式二、常见的挖矿木马三、挖矿木马应急响应方法3.1、隔离被感染的服务器/主机3.2、确认挖矿进程3.3、系统排查3.3.1、判断挖矿木马挖矿时间3.3.2、了解网络部署环境3.3.3、系统排查3.4、挖矿木马清除四、挖矿木马防御 一、挖矿木马简介 挖矿: 每隔一个时间点,比特币系统会在系统节点上生成一个随机代码,互联网中的所有计算机都可以去寻找此代码,谁找到此代码,就会产生一个区块。而比特币的发行是基于奖励的,每促成一个区块的生成,该节点便获得相应
渗透测试漏洞总结-2
Aukum的博客
12-24 1005
SSRF、RCE、文件上传漏洞学习总结。
从SQL注入到服务器沦陷全过程剖析.pdf
09-19
从SQL注入到服务器沦陷全过程剖析.pdf
Scratch 操控游戏:僵尸沦陷
01-14
角色数量:19,素材数量:259,积木数量:2596,音频数量:68 【A / D】操控士兵移动,【W】操控跳跃,【S】发射子弹攻击,【空格】冲刺。杀死僵尸赚钱,花钱买新武器或修门。如果你按下【Q】,“能力”菜单就会出现...
09-一次Shiro反序列化引起的域控沦陷.pdf
09-20
09-一次Shiro反序列化引起的域控沦陷.pdf
文件上传漏洞专题
ZY95001的博客
09-18 632
一、
IDEA安装流程
qq_37462910的博客
08-13 297
IntelliJ IDEA: 简称IDEA,是Java语言开发的集成环境,IntelliJ在业界被公认为最好的Java开发工具之一,尤其在智能代码助手、代码自动提示、重构、J2EE支持、各类版本工具等方面功能是超常的。   该安装步骤在苹果系统的条件下,事先请自行安装jdk才能正常使用 安装步骤如下: 一、双击打开ideaIU-2016.3.2.dmg文件   二
Java实战项目——基于ssh实现的博客系统(毕业设计)(前后端源码+论文+数据库+说明文档)25.zip
最新发布
06-15
ava实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),可运行高分资源 Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现的毕业设计&&课程设计(包含运行文档+数据库+前后端代码),Java实现
基于React的后台开发框架(javascript)
06-15
【作品名称】:基于React的后台开发框架(javascript) 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】:运行Demo cd tui/example npm install node app.js open localhost:3003/be 说明 simditor文件夹为TUI依赖的编辑器插件,如果用到编辑器,页面引入simditor.all.min.js和simditor.css即可。
护网初级端口相关问题
07-28
对于重大损失,如主机沦陷或域控服务器沦陷,应及时将感染设备断网处理,并切换备用设备来保障业务正常。\[3\] #### 引用[.reference_title] - *1* *2* [2023最新最全!蓝队护网初级面试题合集!]...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值