URL:掌控安全学院实战演练靶场
打开传送门,看到新闻动态,一般新闻页面的功能是与数据库进行交互的。点击第一个新闻
http://kypt8004.ia.aqlab.cn/shownews.asp?id=171
在地址栏中看到id=171,猜测存在sql注入漏洞,使用引号判断;由shownews.asp得知,ASP动态网页文件,与数据库进行交互,并查询出第171篇新闻内容
有弹窗可知,提示过滤了了很多关键字,考虑如何绕过
尝试使用order by 判断字段数
Order by 1
Order by 2
……..
测试到order by 11 时,页面返回错误
说明有10个字段,并且数据库没有过滤order by
接着猜测是否存在admin表:union select 1,2,3,4,5,6,7,8,9,10 from admin
弹框出现,说明过滤了union select 应该是网页防护,换种注入方式,cookie绕过,尝试将测试语句放到cookie里面,再发送给服务器,因为网页防护一般只拦截Get、post传参。使用modheader插件,火狐中扩展中搜索modheader插件,安装后就是这样子,
点击+号新增一个request头
添加一个Cookie头,并写值为id=171,
直接访问
掌控安全学院实战演练靶场,返回显示正常,证明可以正常传参,直接进行注入,
id=171+union+select+1,2,3,4,5,6,7,8,9,10+from+admin
访问时,地址栏中的id=171需要去掉
没有出现数据库错误,证明admin表是存在的,并且在2,3,7,8,9字段,发现页面回显了2、3、7、8、9。直接尝试猜测username和password,
id=171+union+select+1,username,password,4,5,6,7,8,9,10+from+admin
刷新页面,发现admin、b9a2a2b5dffb918c,应该就是用户名和密码了,密码应该是加密的,字母+数字16位组合,符合md5的特征,打开https://www.cmd5.com/(MD5在线解密网站)
明文为welcome,既然拿到用户名、密码,应该有个登录的地方,于是用御剑扫描网站目录,
发现登录页面,直接访问管理员登录
果然!!!登录成功
扫一扫
3760
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
