楼主: 匿名

中国联通某分站SQL注入+GETSHELL等

[复制链接]
匿名
匿名  发表于 2015-4-21 11:58:24 |阅读模式
先从注入说起:
看原来的str2漏洞地址:
[AppleScript] 纯文本查看 复制代码
http://cx.wap.unisk.cn/user/user/login.action
,已经直接显示网页源码了,然后各处翻,终于找到了个注入
URL:
[AppleScript] 纯文本查看 复制代码
http://m.unisk.cn/Count2.asp?id=1320356&speid=300

注入参数:speid
其他连接貌似有过滤,这个文件却没过滤,很是奇葩..
QQ截图20150421115147.jpg
注入拿到了帐号密码:
QQ截图20150421115212.jpg
这时想想,貌似还不知道后台,这...
第二天想看看分站有木有别的可利用的地方,无意间又碰到了后台,甚喜
http://123.125.97.162/admin/manage/
然后就去解密,结果md5一个都解不出来,肯定是加盐了..无望,突然发现很多密码的密文都一样,猜想肯定是弱口令,结果尝试成功.哈
QQ截图20150421115238.jpg
得到的密码明文为:
[AppleScript] 纯文本查看 复制代码
*****a9b96549b0cdc95bd*****

登录进去,发现fck,又是iis6,直接getshell
QQ截图20150421115316.jpg
shell在dlf\upload\37\image\a.asp\目录下、
QQ截图20150421115342.jpg
数据库里号码、短信啥的还是蛮多了,数据库文件68.52 G
QQ截图20150421115409.jpg
平时到这里基本就结束了,今天手贱,看了下开放的端口,发现个6060,就访问了下:
[AppleScript] 纯文本查看 复制代码
http://123.125.97.162:6060/jcard/demo.php?p=

QQ截图20150421115504.jpg
wo+通行证,通行证一般都很强大.. 就去看源码到底干啥的:
QQ截图20150421115540.jpg
仔细研究下,原来是通向http://i.wo.cn/ wo+通行证的通道,这就有意思了
sso.php
[PHP] 纯文本查看 复制代码
*****?p*****
*****"p*****
*****_decode*****
*****=$pho*****
**********
*****ot;,"****&quo*****
*****$co*****
*****
*****
*****nect: ' *****
*****
*****
**********
*****ot;jcard&q*****
*****ot;.$phone."' ORD*****
*****;
*****ql_quer*****
*****tch_array(*****
*****039;id&*****
*****
*****
*****e{*****
*****39;&#*****
*****
*****
*****se($c*****
**********
*****=$ui*****
*****["u*****
*****'&*****
*****pt' type='tex*****
1.://**.**.**//i.wo.cn&
*****/script&*****
*****
*****
**********
2.://**.**.**//123.125.97.162:6060/jcard/sso/referer.php&
*****='10*****
*****_set ('*****
*****('Ym*****
*****D52949A6A1*****
*****rmID.$key.*****
*****?_.$auth.'*****
*****r=SHA1(*****
*****_.$authenticator.*****
**********
*****-----------&l*****
*****;//初始?*****
*****e.'&'.$*****
*****??.$input."*****
*****->encry*****
*****?.$encrypt_card.&q*****
*****t;decrypt($rep-&*****
**********
**********
*****erID.'<*****
*****userID,$key).*****
*****encode($en*****
*****encryp*****
*****64加密_.$userInfo*****
*****nfo).'<*****
*****rypt($userInfo).&#*****
*****-----------&l*****
**********
3.://**.**.**//i.wo.cn/sso/otherLogin.dosourcePlatformID=&
*****;
*****pt' type='tex*****
*****n.href='*****
*****/script&*****
*****t;*****
*****php*****
**********
*****ypt3D*****
**********
**********
*****{*****
**********
**********
*****t;; //密钥 要与java的?*****
**********
**********
*****   *****
**********
*****?据?*****
**********
**********
*****ncrypt($*****
**********
**********
*****  *****
**********
**********
*****_size(MCRYPT_3DES*****
**********
**********
*****gt;pkcs5_pad(*****
**********
**********
*****is->key,24,*****
**********
**********
*****ES, '', *****
**********
**********
*****crypt_enc_get_iv_s*****
**********
**********
*****c_init($td, *****
**********
**********
*****pt_generic(*****
**********
**********
*****eneric_de*****
**********
**********
*****odule_clo*****
**********
**********
*****se64_encod*****
**********
**********
*****turn $*****
**********
**********
*****  *****
**********
**********
*****?据?*****
**********
**********
*****rypt($enc*****
**********
**********
*****  *****
**********
**********
*****ase64_decode*****
**********
**********
*****is->key,24,*****
**********
**********
*****3DES,'',�*****
**********
**********
*****rypt_enc_get_iv_si*****
**********
**********
*****_enc_get_ke*****
**********
**********
*****c_init($td, *****
**********
**********
*****ypt_generic($t*****
**********
**********
*****eneric_de*****
**********
**********
*****odule_clo*****
**********
**********
*****kcs5_unpad($*****
**********
**********
*****retur*****
**********
**********
*****  *****
**********
**********
*****  *****
**********
**********
*****ad ($text, *****
**********
**********
*****  *****
**********
**********
*****- (strlen($tex*****
**********
**********
*****tr_repeat(chr*****
**********
**********
*****  *****
**********
**********
*****  *****
**********
**********
*****kcs5_unp*****
**********
**********
*****  *****
**********
**********
*****text{strlen*****
**********
**********
***** > str*****
**********
**********
*****   *****
**********
**********
*****turn f*****
**********
**********
*****   *****
**********
**********
*****ad), strlen($text*****
**********
**********
*****   *****
**********
**********
*****return *****
**********
**********
*****   *****
**********
**********
*****r($text, 0,*****
**********
**********
*****  *****
**********
**********
*****}*****
**********
*****t;*****

上面的代码意思是,先到数据库查询是否存在,然后加密直接进入wo+,无需密码啥的,那sourcePlatformID、key就是非常重要的东西了。
分析后得知,查数据库也只是差id,而id和手机号码有一样,所以可以直接修改一下,把查询数据库部分去掉,直接用号码就可以了,这样全国联通的号码我都可以直接登入wo+通行证,并且不需要密码
用我改的sso2.php访问:
http://**.**.**/jcard/sso/sso2.phpp=186****8948
访问直接跳转到i.wo.cn
QQ截图20150421115654.jpg
点击邮箱,无需密码直接登录进去
QQ截图20150421115724.jpg
QQ截图20150421115747.jpg
理论可登录全国联通用户,over!
回复

使用道具 举报

  • TA的每日心情
    慵懒
    2017-9-13 12:01
  • 签到天数: 364 天

    [LV.8]以坛为家I

    发表于 2015-5-6 16:48:51 | 显示全部楼层
    貌似没人回答,,,,{:soso_e103:}
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2021-9-2 07:46
  • 签到天数: 29 天

    [LV.4]偶尔看看III

    发表于 2015-5-6 18:45:04 | 显示全部楼层
    顶一个,,,,虽然没看懂,很强大的样子
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2017-8-21 09:22
  • 签到天数: 181 天

    [LV.7]常住居民III

    发表于 2015-5-7 10:07:07 | 显示全部楼层
    很嗨的感觉啊
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-5-11 22:57:02 | 显示全部楼层
    厉害。。。
    回复

    使用道具 举报

    该用户从未签到

    发表于 2015-6-29 14:08:45 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-3-4 11:35
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2015-6-29 18:36:54 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-7-1 02:30:45 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-7-1 10:01:05 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-7-2 17:00:07 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-11-1 21:38 , Processed in 0.059433 second(s), 13 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部