记录第一次手工拿站!!!
首先,第一次进入网站的时候,随机点击进入公会简介文章。便发现网站可能存在 “?id=”注入。
开始测试。使用 “and 1=1/and1=2”,发现可以传入sql语句,可以判断此URL并未过滤关键字。
"and 1=1"回显正常,
"and 1=2"回显异常。
查****询字段长度,爆出字段位置
使用 order by 语句来猜解字段数。
1)第一次使用”order by 1″,发现回显错误。于是在后面尝试添加注释符 “– “阻断,果然显示正常。
继续根据回显正常/错误界面判断出共有5个字段.
使用 union 联合查询爆出字段显示位置。更改 “id=-1″使原数据为空,查询”select 1,2,3,4,5 –“
查****询当前用户权限与数据库
在字段显示位置,插入数据库相关信息。select 1,2,user(),database(),5 —
得到当前数据库用户名:taipeicpb@localhost 数据库名:taipeicpb_db
查询数据库表名、字段名
通过mysql自带information_shcema数据库来获得表名。
select 1,2,3,group_concat(table_name),5 from information_schema.tables where table_schema='taipeicpb_db' -- -数据表不止一个,使用group_concat函数横向排列,逗号分割。
再通过所获得的表名,获取表内字段名。目的是拿到shell。先获取用户表的字段及数据.
获取用户名+密码。由于密码为明文格式,并未加密。省下了解密密码的步骤。
获取后台管理地址
通过微步在线反查IP绑定的域名,发现很多域名绑定到了该IP上,并且都有一个 xcom.tw 的结尾
通过对绑定网站分析,发现这是一个站群系统,其中很多域名都是以:xcom.tw 结尾,并且源码都是一模一样,于是开始对主站进行渗透使用御剑扫描目录
发现了一个file目录。打开file目录后自动进行了302跳转、获得后台地址。
那么如果主站是这个后台地址,我们的目标站点是否又是呢?
随即我们开始复制后台路径,开始访问目标站点。
终于成功获取到了后台。
获得后台地址后,需要再获取后台账号密码。查阅数据库表后,发现并没有存放管理员的数据表。
以此判断,是否将会员与管理账号放置同一张表内。于是使用会员表内首个账号数据。
成功登入后台。找到存在文件上传的功能。
上传大马tt.php文件,并未被限制文件格式、关键字拦截。成功上传
访问shell文件,拿下shell
到此结束!
总结:
此次SQL注入,主要是利用网站sql注入漏洞,使用联合查询注入,对数据库语句的猜解分析,获取到所需要的口令。并使用信息收集工具获取后台地址,进入后台传入木马文件,获得网站的SHELL。
优化方案:
1、过滤拦截SQL注入敏感字段。
2、多层加密网站用户密码信息,严重禁用明文密码存储方式。
3、过滤拦截上传文件格式,防止木马文件的上传。
1 探查网站
打开网站,查看功能点
根据首页的功能点大致可以判断出漏洞类型
- 登录框,可能存在SQL注入,弱口令,登录绕过等漏洞
- 新闻页,可能存在SQL注入
- 反馈页面,可能存在xss,获取管理员cookie
- 文件下载,可能存在任意文件读取
2 获取shell
经过对以上功能点的测试,发现新闻处存在SQL注入
在id后添加 and 1=1时,页面正常
and 1=2时,页面返回为空
使用sqlmap可以查询数据库信息,得到用户账号密码
使用账号密码登录
在会员资料管理处,发现编辑器
通过搜索js文件得知编辑器版本信息
FCKeditor “2.6.4”
通过网上已知漏洞信息上传webshell
访问连接成功
3 提权
首先收集服务器的系统信息
根据内核版本在网上寻找已知漏洞
在尝试众多内核提权、SUID提权无果后,经无常师傅提示使用polkit漏洞进行提权
在vps开启监听
服务器反弹shell
获取到shell
下载CVE-2021-4034利用脚本
解压后编译
使用脚本进行提权
没有回复内容