一次SQL注入到代码审计之路

7980

 

文章目录

  • 一、找网站SQL注入
  • 二、sqlmap跑一下
  • 三、找后台
  • 四、找通用漏洞
  • 五、返回sqlmap
  • 六、使用sqlmap读取网站源码
  • 七、侧面渗透测试
  • 八、代码审计

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。本文中出现的所有敏感信息已做打码处理 

一、找网站SQL注入点

在测试时后发现有一个信息查询框,就是下面这个图片显示的。一般信息查询框会和数据库存在交互。 

一次SQL注入到代码审计之路插图
 

我输入数字1,会正常提示木查询到相关信息。

一次SQL注入到代码审计之路插图(1)
 

那我们使用1′测试一下,发现不弹未查询到相关信息的提示框,也没有任何数据输出,大致判断这个点存在sql注入,并且不对输出报错信息。

大概猜测出SQL语句为 :

select * from A where id ='$_POST['id']';

没有对用户输入的数据做任何过滤。

构造一个闭合语句再次确认一些是否确认存在sql注入。

payload:1′ #

一次SQL注入到代码审计之路插图(2)
 

通过上面简单测试,已经确定了,肯定存在sql注入。

二、sqlmap跑一下 

将数据包保存到一个文件,直接用sqlmap跑。非常震惊,居然有51个库。

一次SQL注入到代码审计之路插图(3)
 

经过查询,查到后台的账号密码,那我就开始找后台的艰辛路程了。

三、找后台

没有找到后台,但是发现robots文件。

一次SQL注入到代码审计之路插图(4)
 

从robots上看到是PHPCMS系统

一次SQL注入到代码审计之路插图(5)
 

使用PHPCMS系统通用后台地址admin.php,m=admin&c=index&a=login,都不行,测了好就发admin模型下的index控制器是存在,当我们访问的时候就会自动跳到首页,这也该是开发者后来做了修改,专门做防黑的。

四、找通用漏洞

这个步骤就不多说了,我测了已暴光的漏洞,都是不行,说明开发者还是有安全意识的,把漏洞都给修复了。

五、返回sqlmap

还有一种思路就是使用sqlmap –os-shell直接获取shell,但是这个基本上不行的,因为网站的文件基本上都是755权限,没有写的权限就会失败。那我还是抱着一丝丝希望去测试了。

使用sqlmap –os-shell需要知道网站的绝对路径,网站绝对路径可以通过中间件配置文件查看。

首先需要知道网站用了什么中间件,我没有用nmap跑,只用404看到是nginx ,nginx的配置文件  /usr/local/nginx/conf/ngixn.conf

用sqlmap –file-read 去读nginx配置文件。通过配置文件只看到一条默认的配置信息

一次SQL注入到代码审计之路插图(6)需要注意的是如果在nginx.conf文件没有看到有价值的信息,有一种可能是存在,/usr/local/nginx/conf/vhost/网站域名.conf 这个位置,果不其然就是它。
 

一次SQL注入到代码审计之路插图(7)找到了真实的路径,就可以使用 sqlmap –os-shell了,但是正式我当时预料的没有写入权限导致拿shell失败。
 

一次SQL注入到代码审计之路插图(8)
 

六、使用sqlmap读取网站源码

通过上面的思路我们已经知道网站的真实路径,知道了是PHPCMS系统,那我们可以读取网站的文件了。

1、读取路由文件  caches\configs\route.php 查看路由文件没有问题。

一次SQL注入到代码审计之路插图(9)2、查看系统文件 caches\configs\system.php  (这个文件能看是否开启了域名访问后台)
 

一次SQL注入到代码审计之路插图(10)3、在上面我们说到admin模型下index控制器是能访问,知识在访问的时候会跳转到主页,那我们下载index控制器文件看下。  phpcms\modules\admin\index.php ,查看index控制器下的login方法是没有做任何修改的。
 

一次SQL注入到代码审计之路插图(11)
 

七、侧面渗透测试

上面说了一共有51个网站,我随机看了几个,数据库的结构是一样的,说明是同一个建站系统。

那我们用nmap扫一下服务发现有8080服务,这个网站8080端口的网站时dedecms系统搭建的,我正好有后台密码,这样能通过dedecms上传文件。

一次SQL注入到代码审计之路插图(12)
 

八、代码审计

通过上面们大概判断是admin模块index控制器有问题。

查看admin模块多了一个MY_index.php控制器,

一次SQL注入到代码审计之路插图(13)查看MY_index.php 发现里面有一个构造函数,这个函数大概意思就是会打开这个方法会判断你的right_enter的session值是否为空,若果为空,那么就回到首页,这这是我们刚开始一直打不开后台的原因。
 

一次SQL注入到代码审计之路插图(14)
 

经过看phpcms开发手册(我对这看系统二次开发不太熟悉,我只知道是一个MVC结构的php程序),如果需要对控制器进行二次开发需要在同级目录创建一个MY_*.php文件,大概意思就是创建这个文件后程序在运行index模块时会运行MY_index.php里面的代码。

一次SQL注入到代码审计之路插图(15)到这了明白了,因为没有$_SESSION[‘right_enter’]值,所以导致登陆不了,所以打开后台首先需要给$_SESSION[‘right_enter’]赋值。经过不懈努力找到了一个正确文件。
 

一次SQL注入到代码审计之路插图(16)
 

这个文件大概意思就是当我运行改文件时会将$_SESSION[‘right_enter’]=1,然后跳转到登陆界面。

*本文作者:lesssafe,转载请注明来自一一网络博客

 

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
杂七杂八
# 热点资讯
喜欢就支持一下吧
点赞0 分享
一一网的头像-一一网钻石会员
世界,您好!-一一网
世界,您好!
世界,您好!
4年前 3.7W+
番茄社区无限观看+付费视频破解教程-一一网
番茄社区无限观看+付费视频破解教程
番茄社区无限观看+付费视频破解教程
5年前 3.2W+
香蕉视频v3.8.3_VIP会员破解教程-一一网
香蕉视频v3.8.3_VIP会员破解教程
香蕉视频v3.8.3_VIP会员破解教程
5年前 3.1W+
密码保护:[桜井宁宁]COS和泉纱雾超可爱写真福利集-一一网
密码保护:[桜井宁宁]COS和泉纱雾超可爱写真福利集
密码保护:[桜井宁宁]COS和泉纱雾超可爱写真福利集
5年前 2.8W+
密码保护:[桜井宁宁] 爆乳奶牛少女cos写真-一一网
密码保护:[桜井宁宁] 爆乳奶牛少女cos写真
密码保护:[桜井宁宁] 爆乳奶牛少女cos写真
5年前 2.8W+
快猫v1.1.7会员破解版_最新快猫vip破解教程大全-一一网
快猫v1.1.7会员破解版_最新快猫vip破解教程大全
快猫v1.1.7会员破解版_最新快猫vip破解教程大全
5年前 2.7W+
相关推荐
世界,您好!-一一网
世界,您好!
世界,您好!
4年前 3.7W+
番茄社区无限观看+付费视频破解教程-一一网
番茄社区无限观看+付费视频破解教程
番茄社区无限观看+付费视频破解教程
5年前 3.2W+
香蕉视频v3.8.3_VIP会员破解教程-一一网
香蕉视频v3.8.3_VIP会员破解教程
香蕉视频v3.8.3_VIP会员破解教程
5年前 3.1W+
密码保护:[桜井宁宁]COS和泉纱雾超可爱写真福利集-一一网
密码保护:[桜井宁宁]COS和泉纱雾超可爱写真福利集
密码保护:[桜井宁宁]COS和泉纱雾超可爱写真福利集
5年前 2.8W+
密码保护:[桜井宁宁] 爆乳奶牛少女cos写真-一一网
密码保护:[桜井宁宁] 爆乳奶牛少女cos写真
密码保护:[桜井宁宁] 爆乳奶牛少女cos写真
5年前 2.8W+
快猫v1.1.7会员破解版_最新快猫vip破解教程大全-一一网
快猫v1.1.7会员破解版_最新快猫vip破解教程大全
快猫v1.1.7会员破解版_最新快猫vip破解教程大全
5年前 2.7W+
搜索
开启精彩搜索
世界,您好!-一一网
3.7W+人已阅读
世界,您好!
TOP1
番茄社区无限观看+付费视频破解教程-一一网
番茄社区无限观看+付费视频破解教程
5年前3.2W+人已阅读
TOP2
香蕉视频v3.8.3_VIP会员破解教程-一一网
香蕉视频v3.8.3_VIP会员破解教程
5年前3.1W+人已阅读
TOP3
[桜井宁宁]COS和泉纱雾超可爱写真福利集-一一网
密码保护:[桜井宁宁]COS和泉纱雾超可爱写真福利集
5年前2.8W+人已阅读
TOP4
[桜井宁宁] 爆乳奶牛少女cos写真-一一网
密码保护:[桜井宁宁] 爆乳奶牛少女cos写真
5年前2.8W+人已阅读
TOP5
快猫v1.1.7会员破解版_最新快猫vip破解教程大全-一一网
快猫v1.1.7会员破解版_最新快猫vip破解教程大全
5年前2.7W+人已阅读
TOP6
标签云
默认路由黑裙黑群晖麦克风车机鸿蒙系统鸿蒙系统鸿蒙OS鸿蒙驱动软件驱动题库音频剪辑音乐剪辑面板面具静态雷石集群随机阿里云