前言
公众号的粉丝、一位大师傅发来一个站,问我有没有兴趣试试,我点开一看,哇靠,这不是菠菜嘛,太坏了,必须渗透一下,于是有了这篇小通杀案例
初见端倪
简单看了看各个功能点,大部分是一些静态展示内容,有少量的查询数据的功能,于是首先想到打SQL注入
直接来到一处查询功能点
输入admin,有数据正常回显
输入admin',没有数据回显
抓个包看看
好家伙,狗运来了挡都挡不住,直接SQL报错了
经过手工测试发现没有waf,直接sqlmap跑可以了撒
到此,可以直接拿到整个数据库的全部数据,可以拿到后台管理员表,几个密码哈希值,5K+的姓名,会员号,银行卡号,初始密码,取款密码,资金流水等等数据
但是还不够,于是我进一步尝试getshell
经过漫长的测试发现:
-
目标是MySQL数据库
-
通过TP框架报错信息得到了网站根目录绝对路径
-
没有使用站库分离架构
-
目录没有写入文件权限
-
能够通过sqlmap获取sql-shell,但是数据库权限很低,只能执行一些有限的当前数据库的数据查询
对于MySQL,无非就两种常用的方式getshell,into outfile写马和udf提权,当然还有包含日志写马,这个我用得不多(不过udf提权本身不是直接用来getshell的,因为udf提权的条件要求很苛刻,一般是用来在已经有shell但是执行命令时有有所限制时使用的),前者的主要条件是有写入的权限,知道网络根目录绝对路径,站库不分离,这里尝试了into outfile写入失败,因为MySQL是以低权限运行的,没有写入的权限,日志写马那也没戏了呀,因为它也需要一个高权限才能开启全局日志,修改日志文件,udf提权就更不用想了,这个条件更苛刻,权限都太低了,于是遗憾离场,通过SQL注入的方式getshell失败
小通杀
然后我继续找了一下其他子站的查询功能点
又又是一个和上面的很相似的查询处
抓包,是一个POST数据包,还是和上面的注入点一样,有一个同样的查询参数
于是猜测也有注入,手工试了下,加个'返回异常,果然又是狗运,还是存在注入
抓包500状态码,TP框架报错
上SQLmap试试,也能跑
还是老样子,没有站库分离,系统没有写入文件权限,不能UDF提权,数据库权限也是低权限,无法使用into outfile写入webshell,有sql-shell,不过能执行的命令有限权限不够,不能稳定读数据,有请求速率限制
但是也能读取许多关键的数据了,和上面那个是不同的数据库!
继续找子站点,又找到一处相似的查询功能点
注入情况和上面的一致,不能shell,但是得到了第三个数据库的数据!
之后又陆续找了许多菠菜的站,根据手动提取的指纹,只要是使用了这个查询接口的某个参数就大都存在SQL注入漏洞,也算是小通杀了,遗憾的是,数据库和操作系统都是低权限,不能shell
小遗憾
前面不是找到了后台管理员的密码哈希值吗,其中2个能解密出来,于是我想着去找后台,看看能不能后台getshell
经过漫长的信息收集,没有能成功找到后台。找到一个疑似后台的但是密码不对,应该不是真正的后台。
于是这次渗透就只收获了三个数据库+一个小通杀的注入点
渗透就是这样,往往不像黑客电影里的刀光剑影、热血沸腾,更多的是未知的迷雾与偶然闪现的微光。现实不是好莱坞的蒙太奇,而更像一段冗长的FUZZ测试——你不断调整参数、变换载荷,在噪声中寻找规律,直到某一刻,Burp的响应突然亮起,数据包泄露了它的秘密。生活,亦是如此……
到此就结束了,还有许多功能点没有看,就只看了查询的功能点,有点懒,后面看有机会再更新吧。
晚辈学识尚浅,行文难免错漏,望业内前辈手下留情,晚辈自当虚心受教
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)
