作者：晓华[岁月联盟]

工具下载：

起因：一日在网上搜索资料，不小心来到国内三家大型杀毒软件公司之一的金山杀毒软件。金山在国内来说口碑还是不错的，国内有很多人使用他们的产品，尤其是个人用户。出于平时信息安全的兴趣和爱好，同时我也是信息安全专业的学生。于是对金山毒霸信息安全网一次渗透测试，渗透的过程还是很艰难的。

渗透开始之前，启动平时比较稳定国外VPN，安全{dy}嘛。首先使用百度和谷歌搜索引擎进行基本的信息收集，发现金山WEB系统是PHP程序做的，那么后台数据库应该使用的是MYSQL的数据库，因为他们是黄金搭档嘛。由于我没有动用大型的扫描软件进行扫描，操作系统暂时无法得知，像这样的服务器{zh0}别动用大型扫描软件，说不定人家安个入侵检测系统或者放个蜜罐等着你。

在旁注查询的站点载入网站地址查询，发现该服务器没有绑定其他的站点。意味着是独立服务器的渗透，难度有点大。于是我利用刚才搜索引擎收集到的地址链接，然后找动态的页面，如果程序没有严格过滤好参数就会导致严重的注入漏洞。经过我的耐心查找和筛选，找到一个有问题的页面，该页面是新闻发布的页面。提交一个单引号，就出错了。如图1：



继续提交/**/and/**/1=1/*,返回正常页面,提交/**/and/**/1=3/*则返回了错误页面，这是典型的注入漏洞。如图2：



手工搞很累，于是我利用现成的工具来代替我工作。马上打开CASI4.0PRO版的，提示无法注入。于是打开HDSI填上关键字也无法注入，载入强悍的穿山甲注入软件也未果，尝试了常用的几款PHP注入软件都无功而返。看来，工具是对它无能为力了。不能啥时候都靠工具，工具很多时候都不可靠，还是靠自己吧！现在只好手工注入，虽然辛苦点。

现在我们来手工找下字段的数量,提交/**/oRdEr/**/By/**/5/*(注意：注入的语句{zh0}变化下大小写，为的是怕程序过滤了注入的关键字)返回正常，说明字段大于5个，提交10的时候出错了，说明小于10个字段，提交7返回正常，提交8却出现错误了。说明字段是7个。马上构造语句：/**/and/**/1=2/**/UnioN/**/sEleCt/**/1,2,3,4,5,6,7/*提交如图3：



记下数字6和7的位置，显示信息就靠它了。VerSioN()函数可以查看数据库的版本，USer()函数可以查看当前连接的用户名。DATabaSE()可以查看当前使用的数据库，我们在在6个7的位置分别插入VerSioN()和USer()，提交如图4：

数据库版本是5.0.16-nt，数据库连接的用户是ROOT。{zh1}提交DATABASE()函数显示了当前的数据库是duba。现在来判断MYSQL数据库是否和WEB服务器位于同一服务器，打开CMD,PING ,得到IP地址为202.66.31.248，说明它们位于同服。现在需要判断下操作系统的类型，提交一个不存在的页面。提示无法找到，同时爆出了服务器的信息。使用的是APACHE的服务器，版本为, Apache/2.0.54 (Win32),操作系统服务器为WIN平台的系统。现在我们利用load_file()这个函数来读取一下boot.ini的信息，先将c:\boot.ini转换成HEX值提交， WINDOWS 2003的系统如图5：

PHPMYADMIN可以轻松地对MYSQL数据库进行管理，在网址后面加上PHPMYADMIN，立即返回了PHPMYADMIN的登陆页面。尝试了几个弱口令登陆均失败，PHPMYADMIN的管理密码是保存在文件中的，我们可以通过LOAD_FILE()函数来读取，但是我们不知道PHPMYADMIN的路径。尝试提交phpmyadmin/libraries/select_lang.lib.php爆出路径失败，测试了其它几个PHPMYADMIN文件也失败。于是想到安装了APACHE的服务器，于是我在网上下载了和服务器一样的版本，在本机安装。得到默认安装的路径:

C:\Program Files\Apache Group\Apache2\conf\httpd-win.conf，马上转换成HEX值提交，同样失败，换了其它安装的盘符也失败。于是尝试读取IIS站点的配置文件c:\windows\system32\inetsrv\MetaBase.xml，提交显示空白。{zh1}用如下语句爆出IIS站点配置信息：

replace(load_file(char(99,58,92,119,105,110,100,111,119,115,92,115,121,115,116,101,109,51,50,92,105,110,101,116,115,114,118,92,77,101,116,97,66,97,115,101,46,120,109,108)),char(60),char(32))

如图6：

通过分离垃圾数据{zh1}得到可能有用的四个路径：
C:\Inetpub\ftproot\duba
c:\inetpub\wwwroot
D:\Program Files\Microsoft SQL Server\MSSQL.3\Reporting Services\ReportServer
D:\website\StatSystem
经过我的测试以及社工猜解WEB路径，以上路径均未派上用场。FTP用的不是SERVU，如果是SERVU还可以读取下配置文件得到FTP的密码进行xx。看来路径不好找啊。现在我
们来猜解下存放管理密码的表，和字段，从而爆出用户名和密码，后台登陆。提交/**/and/**/1=2/**/UnioN/**/sEleCt/**/1,2,3,4,5,6,7/**/from/**/admin/*返回正常看来存在admin表,现在来猜下字段。尝试猜解常用的字段,{zh1}得到用户字段为username密码字段为psw.现在我们来爆出密码如图7：

现在我们来找下管理后台，在地址后面加/admin弹出了管理的登陆页面。后台提示：请以指纹登陆系统！还提示登陆之前需安装相应的插件。居然是指纹识别管理员的登陆，没有指纹就算是神仙也别想通过，{dy}次见到这样高级的网站后台验证如图8：

看来进后台的想法是不行了，于是我尝试用得到账户和密码社工PHPMYADMIN后台，结果也是惨不忍睹。于是我挂了一个网站废旧目录猜解器进行猜解尝试，希望能找到后台没有做验证的管理页面。我继续利用GOOGLE搜索引擎进行深度搜索,也没找到上传的页面。

目录猜解器进展也不行，看来拿下它不简单啊！要是简单肯定早就被黑了.估计很多朋友搞到这里都不行了。我们要发扬“许三多”的精神，不抛弃不放弃，先休息下，重新调整下渗透思路。猛然间想起数据库版本是MYSQL5的,我们可以尝试跨库查询,这么大的站估计里面还有分类站点,现在也只有这个办法了.马上构造查询语句:

/**/and/**/1=2/**/UnioN/**/sEleCt/**/1,2,3,4,5,SCHEMA_NAME,7/**/from/**/information_schema.SCHEMATA%20limit%20N,1/*(N代表你想查询的数据库位置)如图9：

通过我的查询发现存在5个数据库，分别是：duba   founderonline kishk_backup_dbo mysql test,DUBA数据库是主站的库，我们已经测试了，先排除。

现在我们挑选二个库来重点分析吧！先测试founderonline kishk_backup_dbo这二个，founderonline这个库给我的感觉应该是一个分类站的库，那么我们就先测试它吧！先查表,构造查询语句：

/**/1=2/**/Union/**/sElecT/**/1,2,3,4,5,TABLE_NAME,7/**/from/**/information_schema.TABLES/**/where/**/TABLE_SCHEMA=数据库名（库名转换为HEX的值）/**/limit/**/1 (表的位置),1/*

R如图10：

经过我的仔细查找发现库有共有41个表，通过筛选确定了三个可能存在管理密码的表。分别为：go2yr_user   user   customer ,先构造查字段的语句：

/**/and/**/1=2/**/UnioN/**/sEleCt/**/1,2,3,4,5,COLUMN_NAME,7/**/from/**/information_schema.COLUMNS/**/where/**/TABLE_NAME=0x75736572(表名的HEX值)/**/limit/**/1（字段位置）,1/*通过查找得到user表的字段：user_name，password，name立即构造语句查询：

/**/and/**/1=2/**/UnioN/**/sEleCt/**/1,2,3,4,5,password,user_name/**/from/**/founderonline.user/*

（注意：管理表明必须写上数据库名称，格式是：库名.表名，不然查询要出错）

，发现字段里是空的，什么信息也没有。估计管理密码信息没在那个表里，还剩下二个表，我们继续测试。通过测试go2yr_user表的字段信息也是空的。{zh1}只剩下customer这个表了, 得到password customer_code name三个字段。结果只爆出了password字段的信息，只爆出了密码没有爆出用户名。如图11：

很郁闷哈，有密码没用户。根据这些信息至少可以确定存在一个分类的站点。现在我们来找下它的地址,如何找呢？当然是借助我们强大的搜索引擎了。我构造的搜索语句：

founderonline site:duba.com.hk 在谷歌大哥的帮助下很快就找到了它的踪影如图12：

是一个英文的分类站点，在地址后加个admin目录，很快就弹出了登陆页面。这个后台没有使用指纹识别的验证方式，如图13：

只有密码没有用户名咋办呢？我们可以尝试使用主站的管理用户，结果登陆失败。继续社工可能使用的管理用户名。当我测试到admin的时候，居然进去了。皇天不负有心人，如图14：

后台获得WEBSHELL很简单，点击产品管理—产品图片—新增—选择一个PHP版的脚本木马—{zh1}点击新增！发布成功后，找到刚才新增的产品图片,右键属性即可得到WEBSHELL的路径如图15：

服务器的配置环境为:WINDOWS 2003 +APACHE+MYSQL5+PHP+PHPMYADMIN，APACHE是以系统服务启动的，我们的PHP木马可以执行任意系统命令，同样我们可以添加一个管理员权限的用户,远程登陆终端服务器。如图16： 由于我不想给自己找麻烦,我就不远程登陆终端了，反正现在都是系统权限，同时我也不打算继续渗透该公司的其他服务器。 此次渗透就告一段落了了,途中经历过很多的艰辛,渗透主要是要有灵活的思路和技巧,还要有毅力，还是那句话,遇到困难千万别放弃，放弃就等于失败。如果对本文有什么不明白的地方，请到岁月联盟找我交换意见，谢谢。