记一次隐藏极深的SQL注入

前言

        记录有授权的渗透测试中遇到的一些有意思的漏洞，文章内容皆已经去敏，漏洞后续均已修复，文章只做技术分享。

曲折的漏洞发现

        这次的漏洞发现的很有意思，得亏做足了信息收集，不放过任何一个站点，首先给的目标是一个很经典的若依框架

当时一进来一看，好家伙账号密码写在上面了这么好，然而现实是残酷的，假的。。。那么直接上若依的漏洞利用，若依框架在我们国家使用的非常多因为是开源的，不过正是因为他是开源的二开的情况也非常的多，这里我利用了各种若依利用工具发现都不存在漏洞。shiro也打了一波也没有，那么只能拿出基本手段的，首先是上dirsearch跑了一波，结果就跑出来一个register。访问了 发现注册点根本就不可以注册。。。那么打开熊猫头看看 

也是干干净净，这种情况下 基本可以换站了😢

当然换也是换旁站

对此域名ip进行一波空间测绘，发现还开启了其他的两个端口

很好，打开另外两个端口虎躯一震

 

 手测了一下tomcat不存在弱口令。。。

不死心继续上dirsearch跑

出洞

        在我的dirsearch下发现81端口竟然存在目录遍历，果然皇天不负有心人，虽然没有什么有价值的东西，但也算是洞不是

当然，另一个38088也不能放过

一顿梭结果就跑出了一个路径。。。

 

我看到这个dist本能的认为应该是tomcat的什么使用手册页面，不过还是去访问了一下

没想到竟然访问到了一个后台地址哈哈哈 看图标是一个vue的框架

简单的尝试了一下弱口令发现没有结果，继续对这个路径进行扫描页没有任何的更进一步的泄露

意外之喜

        本能的情况下打开了此页面的熊猫头看看有没有啥可以利用的接口信息

 vue框架一般确实会在js中写很多接口，于是我使用mitan对此页面的结果先做一个简单的探测

         此工具我个人非常的推荐，乃是新手必备，这里面我最喜欢的功能除了空间测绘和指纹识别就是这个敏感接口的识别，以前遇到这种接口只能复制下来然后使用bp去跑，有了这个他可以直接一键爬出并且发送到接口批量扫描功能点去使用get post双方式访问，可以大大的降低手动的辛苦程度，此项目在github搜mitan即可找到，作者kkbo也是我熟知的网友，真实听取了大家的建议去对工具做优化设计，相信此工具以后真会是渗透必备啊。

          好了回归正题，将接口发送去扫描后发现基本上结果都是跳回了登录页面，并不存在未授权的接口，难道就这样了吗，我又仔细去看了看那些接口

发现了一些内网的ip端口的一些路径，还发现了此网站ip1081端口的路径，1081端口就是最开始的那个若依框架的端口，好家伙在这里发现了路径，那必须拼接访问一波

在手动拼接访问api/v1/sys/getPolicy?gids=

终于出金了

 经典sql报错，一般遇到这种代参数的我自己会手动简单的测试一下，当然最厉害的还是bp的插件xia_sql，这里我就不细说xia_sql是一个很强大的检测SQL注入的插件。

后续也是拿着sqlmap一把梭了虽然只是一个postgresql的数据库但是也拿下了一把数据分。

后记

        信息收集要做全，不能放过任何一个可能存在的接口，现在挖洞越来越难挖了，有的时候真的是到处翻js找借口去拼接访问试试看有没有未授权之类的，我是遇到过古希腊掌管接口的大佬，直接自己猜接口去测试，太猛了。我建议是平时遇到一些api的接口路径就把它保存下来为txt下次没思路了可以尝试去跑一下说不定真能碰到。😂😂😂