之所以发在闲聊区,其实测试方法及步骤不可取,只是谈一谈,不想错过这么一个包含,这种漏洞大家都能发现,就是给同学们康康你不止可以手测SQL注入哦
打码可能会略微狠,挂名china的
目标基本信息:
文件包含
经过上面的基础测试吧发现一些后台接口可以访问,但是无法完成操作,这时把思路提到这个单纯的登陆页面上来
随便输入抓取登陆页面的数据包
看到这一堆传输的数据,可能就会存在一小部分哥哥,选择性放弃,尤其是,传参貌似还是数组的,乱呼呼的啥玩意
这个时候你只需要简简单单进行url解个码,你就可能超过了百分之五的人儿
这个时候你在仔细的看看数据包,就会离成功又近了一步,大概就包括ua、ip、用户名、密码等等
这里提一下,为啥我说我测试步骤绕了很大的弯弯,就是很明显的某个参数co_language_select,这真的很明显,就像是包含了一个语言的php文件
直接尝试/etc/passwd,成功包含
至于这里的区分文件包含和文件读取,就是当你包含一个php文件的时候,会首先被解析,如下图
在这里我尝试了好多,因为一个单纯的文件包含,没什么可上传的地方
测试发现如果存在的目录或文件,如果有权限可被包含,如果没有权限则是服务器500,如下图
如果不存在访问的目录或文件,返回包如下
通过这种方式探测了下apache的存在位置,也读取了配置文件,从里面看并没有对日志文件有什么更改,就是默认配置
但是直接包含的时候,返回的数据包告诉我没文件,原因后面会提,至于php.ini文件一致没有找到,后面也会提,黑盒不大可能找到
总体下来各种东西包含的挺多的,就是没啥突破
SQL注入
一时间有点僵局,当不知道怎么做的时候,让我们回到最初的起点,再看看数据包,没有其他功能点,倒是可以试试,根据返回包探测下用户名,然后再通过一些弱口令进入系统,去寻找一个上传点
此操作费时费力可能没回报作为此选项,来尝试大家都耳熟能详SQL注入?
这里一定是字符型的,加个单引号
没什么变化。。放弃吧?猜测经过一层xml处理会不会有些不太一样呢?
惊喜来了哦
不多解释
尝试进入系统
放包后会发现,跳转系统页面,但是细心一点会发现没有session
这也导致了接下来会被直接302跳转登录超时
尝试加入session
依旧是302跳转超时
最后回到我最初的返回包,康一下,好多delete
搞一哈
依然是302,再浏览器cookie加个字段,直接改呢
其实没太细究,应该是多了某些垃圾东西,我后面才发现,直接抓包,尝试万能密码就可以登录来着,可能是我测试数据包多了,有些自己加的垃圾东西,这里可略过,被自己菜了一把
文件上传
后面测试了下还是个未授权的上传,不需要cookie
直接上传的位置废掉了,
慢慢找,再下面的HTML编辑中找到了个编辑器
试了下还是没办法直接传php的,那正好文件上传+文件包含=>>RCE
其他步骤省略了,shell拿到
连接出了一点点问题,一路飙红
可能是服务器对流量有检测,可以随便做一下流量混淆,蚁剑都自带的
成功连接
未授权上传证明
截图
关于包含日志问题
用户名 | 金币 | 积分 | 时间 | 理由 |
---|---|---|---|---|
奖励系统 | 100.00 | 0 | 2020-06-30 19:07:33 | 投稿满 10 赞奖励 |
奖励系统 | 50.00 | 0 | 2020-06-25 23:11:54 | 投稿满 5 赞奖励 |
打赏我,让我更有动力~
© 2016 - 2023 掌控者 All Rights Reserved.
mq
发表于 2020-6-22
秋水秋水===========求水求水
评论列表
加载数据中...
qiushui
发表于 2020-6-22
哥哥,水也不用说的这么明显吧,这不都发到还灌水了,这还没金币
评论列表
加载数据中...
qiushui
发表于 2020-6-22
看来我得换个位置,水一百金币
评论列表
加载数据中...
无心法师
发表于 2020-6-24
给学长点个赞 就有金币了
评论列表
加载数据中...
海洋
发表于 2020-6-25
我来给你点亮那50金币的赞
评论列表
加载数据中...
1697571223
发表于 2020-7-26
一看是我秋水大佬,我就立马点赞
评论列表
加载数据中...
lieren
发表于 2020-12-2
非常值得学习,日站中
评论列表
加载数据中...
qiushui
发表于 2021-8-16
评论列表
加载数据中...