文章插图
前言目标是一大学,在一次挖洞过程中遇到个sql注入,尝试进一步利用扩大危害,漏洞已报送平台进行了修复
私信我获取网络安全学习资料sql注入getshell失败在id处连续加两个单引号都报错,经过探测发现是数字型的注入且过滤了空格,这里可以用/**/代替
1.2000多本网络安全系列电子书
2.网络安全标准题库资料
3.项目源码
4.网络安全基础入门、linux、web安全、攻防方面的视频
5.网络安全学习路线图
文章插图
文章插图
于是直接上sqlmap
Python sqlmap.py -u url --batch --tamper=space2comment.py –dbs
文章插图
发现是dba权限:
python sqlmap.py -u url --batch --tamper=space2comment.py --is-dba
文章插图
试了很多方法找web路径
最后注意到操作系统是FreeBSD
无意中看到这个
文章插图
char(47)就是’/’,立马想到可以通过这个遍历目录、找路径
文章插图
通过从根目录开始逐层遍历,最终找到网站根目录:
文章插图
写入shell失败,转换成16进制规避单引号还是不行
但是这个注入可以读取服务器上的任意敏感文件(包括非web目录),危害巨大
从其它点继续尝试读取sql注入处代码,发现并没有代码层面的过滤,explode() 函数把字符串打散为数组,这里以空格为分隔,取数组的第一个,变相地过滤了空格,把空格换成内联注释就能注入
文章插图
根据泄露的数据库账号、密码尝试连接3306端口失败,估计绑定了本地ip
继续遍历目录,发现了MySQL的登陆界面
登录之后却是空白界面,读取处理登录逻辑的代码发现登陆成功直接设置session但不跳转,登陆后直接访问首页就行
查一下secure_file_priv,发现是空值,并没有限制
文章插图
尝试利用日志写入webshell,发现没有权限设置日志路径
文章插图
文章插图
找到了网站后台
文章插图
数据库里面查到的账号和密码hash值
在线网站解密hash值得到明文
登录失败,读取一下源码
文章插图
文章插图
发现是加了盐的,于是加盐再解密得到正确密码
成功登陆后在人員資料管理新增处发现一个上传照片的地方
文章插图
但是只能上传图片文件
文章插图
上传成功之后,突然想到了sql写shell失败是不是因为目录权限问题,网站限制了除上传目录外其它目录都不可写?
【一次某大学sql注入到getshell】于是尝试写入shell
文章插图
成功,果然是目录写权限问题
文章插图
发现蚁剑连不上,估计waf拦截了流量 。看了一下蚁剑的流量加密,蚁剑流量有一个重要特征就是User-Agent为antSword/版本,另外使用了编码器的话还要将解码函数发过去,所以解码函数这里也是一个特征,需要自定义编码器和解码器 。
推荐阅读
- 第一次做南瓜饼的做法
- 一次性搞定身份证复印 4种办法总有一个适合你
- 大学|“新高考”迎来重大改革,教育部大力支持,有类学生将成为幸运儿
- 记一次 .NET 某招聘网后端服务 内存暴涨分析
- |“钓鱼的时候飞到我手上的,第一次见,有知道这是什么的吗?”
- 一次授权的渗透测试
- 大学生|假如有5杯水,却来了6个领导,应该怎么分?国企面试题难倒众人
- 职业教育|985研究生求职被拒,“年龄”成绊脚石,难怪大学生考编竞争激烈
- 减脂|韩红老师大学时期照片流出,五官精致发型干练,曾经是军艺校花
- 作文-第一次走夜路?第一次走夜路作文大全