01

前言

公众号的粉丝、一位大师傅发来一个站，问我有没有兴趣试试，我点开一看，哇靠，这不是菠菜嘛，太坏了，必须渗透一下，于是有了这篇小通杀案例

简单看了看各个功能点，大部分是一些静态展示内容，有少量的查询数据的功能，于是首先想到打SQL注入

直接来到一处查询功能点

输入admin，有数据正常回显

输入admin'，没有数据回显

抓个包看看

好家伙，狗运来了挡都挡不住，直接SQL报错了

经过手工测试发现没有waf，直接sqlmap跑可以了撒

到此，可以直接拿到整个数据库的全部数据，可以拿到后台管理员表，几个密码哈希值，5K+的姓名，会员号，银行卡号，初始密码，取款密码，资金流水等等数据

但是还不够，于是我进一步尝试getshell

经过漫长的测试发现：

1. 目标是MySQL数据库

2. 通过TP框架报错信息得到了网站根目录绝对路径

3. 没有使用站库分离架构

4. 目录没有写入文件权限

5. 能够通过sqlmap获取sql-shell，但是数据库权限很低，只能执行一些有限的当前数据库的数据查询

对于MySQL，无非就两种常用的方式getshell，into outfile写马和udf提权，当然还有包含日志写马，这个我用得不多(不过udf提权本身不是直接用来getshell的，因为udf提权的条件要求很苛刻，一般是用来在已经有shell但是执行命令时有有所限制时使用的)，前者的主要条件是有写入的权限，知道网络根目录绝对路径，站库不分离，这里尝试了into outfile写入失败，因为MySQL是以低权限运行的，没有写入的权限，日志写马那也没戏了呀，因为它也需要一个高权限才能开启全局日志，修改日志文件，udf提权就更不用想了，这个条件更苛刻，权限都太低了，于是遗憾离场，通过SQL注入的方式getshell失败

然后我继续找了一下其他子站的查询功能点

又又是一个和上面的很相似的查询处

抓包，是一个POST数据包，还是和上面的注入点一样，有一个同样的查询参数

于是猜测也有注入，手工试了下，加个'返回异常，果然又是狗运，还是存在注入

抓包500状态码，TP框架报错

上SQLmap试试，也能跑

还是老样子，没有站库分离，系统没有写入文件权限，不能UDF提权，数据库权限也是低权限，无法使用into outfile写入webshell，有sql-shell，不过能执行的命令有限权限不够，不能稳定读数据，有请求速率限制

但是也能读取许多关键的数据了，和上面那个是不同的数据库！

继续找子站点，又找到一处相似的查询功能点

注入情况和上面的一致，不能shell，但是得到了第三个数据库的数据！

之后又陆续找了许多菠菜的站，根据手动提取的指纹，只要是使用了这个查询接口的某个参数就大都存在SQL注入漏洞，也算是小通杀了，遗憾的是，数据库和操作系统都是低权限，不能shell

前面不是找到了后台管理员的密码哈希值吗，其中2个能解密出来，于是我想着去找后台，看看能不能后台getshell

经过漫长的信息收集，没有能成功找到后台。找到一个疑似后台的但是密码不对，应该不是真正的后台。

于是这次渗透就只收获了三个数据库+一个小通杀的注入点

渗透就是这样，往往不像黑客电影里的刀光剑影、热血沸腾，更多的是未知的迷雾与偶然闪现的微光。现实不是好莱坞的蒙太奇，而更像一段冗长的FUZZ测试——你不断调整参数、变换载荷，在噪声中寻找规律，直到某一刻，Burp的响应突然亮起，数据包泄露了它的秘密。生活，亦是如此……

到此就结束了，还有许多功能点没有看，就只看了查询的功能点，有点懒，后面看有机会再更新吧。

晚辈学识尚浅，行文难免错漏，望业内前辈手下留情，晚辈自当虚心受教

原文始发于微信公众号（The One安全）：【渗透实战】菠菜？那很坏了！菠菜渗透小通杀案例