记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

项目实战 | SQL注入的“格局”

2020-09-13 10:53


0x00 前言

曾经搞站最经典的套路就是:注入拿到密码进后台,上传shell然后内核提权。但是实际环境中,往往会有注入后密码解不开、找不到后台等情况,所以现在有的师傅说sql注入还不如xss。


0x01 详细步骤


一.网站界面就不放了,打码太累了,直接跳到随意点点后发现可疑参数,并确定存在漏洞的截图。


and 1=1页面显示正常,and 1=0页面变空白确定存在数字型注入,order by确定共4列,最后用select 1,2,3,4确定第2列回显。



二.之前探测发现没有waf,那就直接sqlmap一把梭。


跑当前库名:python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent --current-db跑所有数据库名:python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent --dbs标绿色的为当前数据库:xxx_history


    三. 跑当前数据库表名。

python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_history --table

标绿色的表为我认为是存放管理员数据的表:


四.直接拖管理表的数据。

python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_history -T administrators --dump


居然是明文密码,现在明文密码很少见了,不过考虑到目标网站有点历史悠久,也能理解。


五.虽然获得了管理员密码,但是找不到后台,常用的/admin/login/manage都试了。



六.用脚本扫目录,字典用的是御剑的标准字典。得到以下敏感目录(截图不全)。



七.git目录存在即git源码泄露漏洞,用GitHack脚本恢复了整站源码,一大坨,截图就不放了,放个数字你们感受下。

python2 GitHack.py https://www.马赛克.com/.git/


八.根据名字确定其中疑似后台的目录:


.访问试试,/admin1已经404了,因为git中留存的是历史代码,所以目录被改名或删除都有可能。

./7mysql7需要输入密码,试了不是之前注出的密码。



十一.xxxquestions目录下的wp-admin倒是可以进,但是也不是之前注出的密码。


十二.之前看到还有个xxx_questions数据库,再用sqlmap去跑一下试试:

python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_questions --tables


python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_questions -T wp_users --dump



十三.这种加密是wordpress特有的加密,cmd5有针对该框架的解密,但是这个密码似乎太复杂,解不出。


十四.至此sql注入后有密码找不到后台、有后台解不开密码的情况就都碰到了。渗透似乎陷入僵局,没关系,手里的源码还有利用价值,拖到D盾里自动审计一下。


十五.访问那个级别5的已知后门,原来已经被人日过了,是个黑页:hacked by XXX。这个网站比较有历史了,可能这个黑页也是很多年前的某个娱乐圈黑客搞的。


十六.访问级别4的shell_exec后门,是个空白页面,查看手中的源代码,发现是一个备份脚本,有可能是同行留的,也有可能是没有安全意识的管理员自己写的。后面那种可能性比较大。

十七.脚本逻辑:接收了POST的filename参数,然后执行打包备份,但是参数传进shell_exec之前没有做过滤,产生了命令执行的漏洞。用linux的命令连接符分号,可以在后面拼接任意命令,这里尝试一下执行whoami,但是还是空白页面。


十八.想到是因为shell_exec函数没有回显,也不知道命令执行成功没有,这里我们用公开免费的dnslog平台去接收没有回显的注入:http://www.dnslog.cn/,用法如下:

先点击Get SubDomain在平台获取一个域名



十九.然后执行ping命令,反撇号中的命令会自动执行并返回命令执行的结果拼接到命令里,linux系统使用ping命令要加-c指定次数,不然会一直ping个没完。


二十.去平台点击Refresh Record刷新(不要刷新整个网页),获取到解析日志。

可以看到命令是执行成功了的。whoami的回显为www-data

 

二十一.确认了漏洞存在,接下来利用漏洞写一句话,注意因为一句话中包含特殊字符,要编码后写入,payload如下

echo base64编码后的一句话|base64 -d > shell.php

(实战中不要用这个文件名,有授权的测试随便,但要注意文件名对waf来说也是一种特征)


二十二.写马成功

二十三.客户没有授权内网,项目结束。

END.




欢迎转发~

欢迎关注~

欢迎点赞~



知识来源: https://mp.weixin.qq.com/s?__biz=MzAxMzg4NDg1NA==&mid=2247484003&idx=1&sn=7bce52cbb48137b509046f6c78d5e4e5

阅读:31522 | 评论:0 | 标签:注入 SQL

想收藏或者和大家分享这篇好文章→复制链接地址

“项目实战 | SQL注入的“格局””共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云