很久没发了,证明一下人还在,发一点可能很垃圾又不太垃圾的东西。大家在注入的时候是否遇到过一些情况,比如:注入跑出来密码,但是密码解不开;SqlMap跑得慢,不知道到底能不能进去,苦等很难受。
无非就是:注出账号登进去后台,后台找点进行GetShell;要么就是你丫的运气好,数据库权限足够,Sqlmap直接梭哈拿Shell。
但是这种情况一般比较少,那如果说,大家发现的注入是存在于登录包,可以尝试今天文章中所述的方式。
这个就不多介绍了,如果能用的话最好,直接就进后台了,万能密码的语句网上很多,我就不列举这么多了:
' or true #admin' or '1'='1'--admin' OR 4=4/*"or "a"="a' or 1=1"or "a"="a' or''='' or 1=1--
有些时候,我们发现登录口存在注入,万能密码无用,有没有一种比较快的方式来尝试直接进后台呢?有,我们可以尝试采用limit,然后直接遍历就好了,但是这也需要看运气,先来看语句:
xilizhu' or 1=1 limit 0,1%23
此时,我们可以看到,提示密码错误,然后我们直接遍历limit:
![确实有点 | 关于登录口骚扣注入的几个小技巧]( "确实有点 | 关于登录口骚扣注入的几个小技巧")
那么这两条值是成功进入了,这个方法跟爆破如出一辙,但这条语句需要存在有密码为:123456 的弱口令用户。
跟爆破的区别在于,不需要导入用户名字典,通过limit直接遍历,从数据库中提取,存在有弱口令用户就能成功利用。
如下图,我们发现一个注入点,而且Sqlmap也梭哈出来了,但是密码解不开怎么整?
咱们了解union select的话就会知道,使用其进行联合查询时会虚拟出一张表,但这张虚拟表需要与原数据库中的表列数一致。所以,我们需要得到原表中到底有多少列,最好再得知列名。
然后尝试使用union select覆盖原表,此时联合查询生效,就会将其所虚拟出来的表中内容覆盖到原查询,便可进行登录,就相当于虚拟出了一个账户。
如上图可见,表中8个列,但是Sqlmap最后列出来的列名,其顺序可能跟数据库中顺序不一致,所以我们最好按照梭哈记录里面的顺序自己对照一下:
那么按照顺序来的话,分别是:id、user、name、password、img、mail、qq、date,跟数据表中的结构和顺序是一致的:
根据情况猜测,那么user、name、password分别对应的应该是:登录用户名、昵称、密码。那么我们可以直接根据这个结构,构造如下语句:
1' union select 1,2,3,'123456',5,6,7,8#
然后,你会看到密码错误,这里我是故意的。密码这个位置,建议最好根据目标所使用的加密方式,加密后再使用即可。
而且,在数据包中原密码参数位置的明文值,需要跟union select语句里面的加密密码值对应:
1' union select 1,2,3,'e10adc3949ba59abbe56e057f20f883e',5,6,7,8#
然后password的值,需要是加密内容的原明文值,所以语句中的那串md5是加密后的123456,当password的值是123456时:
如果password的值跟语句中md5的明文值不匹配时时,就会报错:
当然,这个方式的利用不止于此,比如:你尝试登录时发现某个账号被冻结或禁用,那么数据库中必然有一列用来存储这个状态,我们同样可以采用union select,在发包时将他原来的值覆盖。
比如:第8列用来存储账号正常或冻结,当第8列的值为0时,账号可正常登录使用。那我们只需要在运用union select时,将第8列的位置改为0即可覆盖掉这个值,比如:
1' union select 1,2,3,'e10adc3949ba59abbe56e057f20f883e',5,6,7,0#
0x03步骤中用到的cms是熊海cms,大家去搜一下就能下载到的。
![确实有点 | 关于登录口骚扣注入的几个小技巧]( "确实有点 | 关于登录口骚扣注入的几个小技巧")
利用本账号所发文章
进行直接或间接的非法行为
均由操作者本人负全责
犀利猪安全及文章对应作者
不为此承担任何责任
文章来自互联网或原创
如有侵权可联系我方进行删除
并诚挚的跟您说声抱歉
原文始发于微信公众号(犀利猪安全):确实有点 | 关于登录口骚扣注入的几个小技巧
评论