一次从简单的SQL注入到后台getshell

zzy0305   ·   发表于 2020-12-27 21:02:11   ·   实战纪实
  • 0X00
    第一次在社区写帖子,不知道开始应该怎么写,好了闲话少说了,直接开始正题。
    在使用谷歌语法寻找网站的时候遇到了一个比较奇怪的网站
    http://xxxxxx.php?id=94
    标准的id=94,既然已经遇到了,那么相遇就是缘分,自然少不了被测试一遍。
    直接 一个单引号 ‘ 测试是字符型,还是数字型。 传入一个简单的单引号后,页面也是直接报错,那么这个地方肯定就是存在SQL注入的。
    ![](https://nc0.cdn.zkaq.cn/md/3091/502522920b924fbcf1d54664d6089c20_29180.png)![](https://nc0.cdn.zkaq.cn/md/3091/8afc80c7d0e7123b9590135c46748982_75784.png)
    于是 熟悉的order by 1 正常

    Order by 2 直接报错,居然只有一个表

    回显点只有一个,那就直接输入 and 1=2 union select database() 数据库直接出现

    知道库名以后直接输入表名
    And 1=2 union select group_concat(table_name) from information_schema.tables where table_schema=database()

    出现了tab_admin 这个表,查询这个表里面的字段
    And 1=2 union select group_concat(column_name) from information_schema.columns where table_name=”tab_admin”

    知道字段以后肯定是想要知道里面的数据
    And 1=2 union select username from tab_admin

    And 1=2 union select password from tab_admin

当知道管理的账户和密码就是想要进入后台看一看(只是看一看哈)

直接使用御剑后台扫描来检测
http://xxxxxx/login.php

0x01
然后就这样登陆这个网站的后台,如果我自己的眼光与技术已经到这里结束了,感谢Wenz 兄弟的提醒,还是要检查一下后台有没有GETshell的可能。

万能密码在这里居然也可以使用(简直比靶场还要靶场。。。)

发现一个可以上传照片的功能,图片马直接安排(这里 一定不能点 提交 , 点击提交后就会直接发布在目标的网站)

在burp里面把后缀改成php,放包,一个弹窗发现是白名单,只能上传JPG,NPG等图片格式
![]

随后想起来00截断,但是经过测试也是不能成功,本以为已经到此位置了。再次经过Wenz兄弟的提醒,想起来了CGI解析漏洞。因为这个网站是IIS 8.5的版本,所以IIS6.0的三个畸形解析漏洞一直没有考虑,也忘记了威力强大的CGI解析漏洞。在这里被上了一课,渗透测试一定要去测试所有可能。

之后就是直接上传一张图片马,这里把图片马上传到他的服务器后,一定不要点击 提交 按钮。点击提交就会直接发送到他的网站首页上面

把图片的地址复制一下,然后在后面加上/.php 这个CGI的解析漏洞就出现了
http://xxxxxxx53961.jpg/.php?a=phpinfo();

到这里就是可以直接连接菜刀,成功拿到了webshell
![]
在经过看wwwroot目录的时候发现这是一个站群
![]
Cmd看一下权限是一个最低的权限,而且本机一个补丁也没有打,看来也是一个没有经历过社会毒打的人。

对这个站的渗透也到此结束,如果再进行提权就是违规渗透,这是不能允许的。

用户名金币积分时间理由
veek 80.00 0 2020-12-28 09:09:13 初投稿奖励~

打赏我,让我更有动力~

2 Reply   |  Until 4个月前 | 721 View

zzy0305
发表于 4个月前

第一次写,没有经验,而且文笔不好,各位大佬见谅

评论列表

  • 加载数据中...

编写评论内容

416567240a
发表于 4个月前

思路很清晰啊 看着

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

掌控者 © 2016 - 2021. All Rights Reserved. 掌控者

Powered by 掌控者