前言
最近,一位公众号粉丝发来一个网站链接,问我有没有兴趣渗透一下。我点开一看,居然是个菠菜网站!这可太有挑战性了,于是便开始了这次渗透之旅。
菠菜网站通常涉及大量敏感数据,比如用户银行卡号、资金流水等,是黑客攻击的高价值目标。但这类网站的安全防护往往参差不齐,既有低挂的果实,也有难以突破的防线。这次的渗透过程,既有惊喜,也有遗憾,但最终还是小有收获。
初见端倪:SQL注入的意外发现
刚接触这个网站,我简单浏览了一下功能点,大部分是静态展示内容,但有几个查询功能引起了我的注意。直觉告诉我,这些功能点可能是SQL注入的高危区域。
于是,我来到一个查询功能处,输入admin
,页面正常返回数据。接着输入admin'
,页面突然没有数据回显,抓包一看,果然是SQL报错!看来这个网站没有启用WAF(Web应用防火墙),直接暴露了数据库的错误信息。
利用SQLMap跑了一下,轻松拿到了整个数据库的数据,包括后台管理员表、密码哈希值、5K+的姓名、会员号、银行卡号、初始密码、取款密码和资金流水等敏感信息。这个发现让我兴奋不已,但事情并没有那么简单。
输入admin,有数据正常回显
输入admin',没有数据回显
抓个包看看
接下来,我尝试通过SQL注入获取WebShell。然而,目标是MySQL数据库,且没有使用站库分离架构,目录也没有写入文件权限。我尝试了INTO OUTFILE
写马和UDF提权,但都因为数据库权限过低而失败。甚至连日志写马也无济于事,因为开启全局日志需要更高的权限。最终,我只能遗憾地放弃通过SQL注入直接获取Shell的尝试。
到此,可以直接拿到整个数据库的全部数据,可以拿到后台管理员表,几个密码哈希值,5K+的姓名,会员号,银行卡号,初始密码,取款密码,资金流水等等数据
小通杀:扩展渗透的意外收获
不甘心只拿到一个数据库的数据,我继续寻找其他子站的查询功能点。又发现了一个与之前类似的查询功能,手工测试后确认存在SQL注入漏洞。抓包显示500状态码,TP框架报错信息再次暴露了网站的脆弱性。
这次,我用SQLMap跑了一下,发现这个子站的数据库与之前的不同,成功提取了第二个数据库的关键数据。继续扩展,又找到第三个子站的类似注入点,成功拿到了第三个数据库的数据。
这个过程中,我总结出一个规律:只要使用了某个特定查询接口的参数,大多数菠菜站点都存在SQL注入漏洞。这种“小通杀”的发现让我感到一丝成就感,但也有些遗憾——数据库和操作系统权限都太低,无法稳定获取Shell。
小遗憾:后台渗透的尝试与失败
既然拿到了后台管理员的密码哈希值,我决定尝试后台渗透。经过漫长的信息收集,我找到了一个疑似后台的入口,但密码验证失败,显然不是真正的后台。
这次渗透最终只收获了三个数据库和一些小通杀的注入点。虽然没有成功获取Shell,但这次经历让我对菠菜网站的安全防护有了更深的认识。
渗透感悟:现实不是电影
渗透测试并不像电影里那样充满刀光剑影和热血沸腾,更多时候是面对未知的迷雾和偶然闪现的微光。你需要不断调整参数、变换载荷,在噪声中寻找规律,直到某一刻,Burp的响应突然亮起,数据包泄露了它的秘密。
这次渗透虽然没有完全成功,但也让我意识到,菠菜网站的安全防护虽然薄弱,但要真正突破仍需更多技巧和耐心。生活和渗透测试一样,都是冗长的FUZZ测试,你永远不知道下一次尝试会不会带来惊喜。
到此,这次渗透就告一段落了。还有许多功能点没有深入挖掘,后续如果有机会,我会继续探索。最后,晚辈学识尚浅,行文难免错漏,望业内前辈手下留情,晚辈自当虚心受教。
原文始发于微信公众号(网络侦查研究院):菠菜渗透实战小探索
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论