个人博客文章链接:点我查看
说明
测试目标是一个旅游网站,发现了sql注入漏洞,泄露2万多用户信息,可任意下载服务器上文件。
所有可利用信息均打码处理。
渗透过程
正常搜索没啥问题
但是当我们输入1’就会报错
尝试注释闭合,发现失败
尝试不注释闭合后面的
后来多次尝试找到了问题所在
当我们把空格替换为/**/发现搜到了内容
直接上sqlmap
sqlmap -u "http://xxxxxx/search/cloudsearch?keyword=1&typeid=0" --level 3 -p keyword --tamper space2comment.py
发现了好几个注入漏洞
尝试列数据库,发现60多数据库
查看当前数据库根据名字看到是一个cms
谷歌搜下这个cms发现没啥爆出来的漏洞,看下cms数据库的结构
找到了会员表
看下发现有2万多数据
查看了下部分数据,可看到密码是MD5加密
MD5破解后,成功登录
进一步利用漏洞
我们已经得到了了其用户账号和密码,我们想进一步利用
登录子站后台
查看cms表结构找到其admin表
密码一看就是MD5尝试破解
拿到了管理员密码,按理说我们应该尝试登录其后台,但是经扫描各种方法尝试也没找到它后台在哪,无奈放弃。
用subdomainsbrute 扫描子站,发现有个WordPress的博客
首页后缀输入/login直接跳转到后台登录页面,用我们刚才得到的管理员数据直接登录成功
服务器任意文件下载
以前打CTF不知道sqlmap还能下载文件,之前都是得到数据库看数据找flag
这也是但是网上搜如何进一步利用漏洞发现的
sqlmap -u "http://xxxxx/search/cloudsearch?keyword=1&typeid=0" --level 3 -p keyword --tamper space2comment.py --file-read=/etc/passwd
去看下文件,成功下载
另外我发现它首页如果访问一个不存在的控制器会报错,根据报错信息可以找到其根目录的绝对路径
根据网站根目录可下载网站文件,这里就没再尝试了
拿shell??
网上说sqlmap可用–os-shell且知道网站根目录可拿shell,上面我们已经得到了网站根目录路径,尝试了下拿shell,失败,卒。。。
后来在它一个客服系统子站找到了一个上传漏洞,拿到了shell,详情见下一篇博客。
写在最后
这次渗透收获颇丰,也是这个站防护太差才让我这个小菜鸡都能渗透进去的,hahaha。