安全矩阵

 找回密码
 立即注册
搜索
查看: 2244|回复: 0

实战 | 记一次考试系统漏洞挖掘记录

[复制链接]

114

主题

158

帖子

640

积分

高级会员

Rank: 4

积分
640
发表于 2021-3-29 22:04:47 | 显示全部楼层 |阅读模式
实战 | 记一次考试系统漏洞挖掘记录
原创 硝基苯
来自于公众号: HACK学习呀
原文链接:https://mp.weixin.qq.com/s?__biz=MzI5MDU1NDk2MA==&mid=2247494794&idx=1&sn=4de0709564bbaf1ca64f1fe3b2a9fc89&chksm=ec1cb9b5db6b30a3cc5bd0b897d360b8c17904157d2f563357138ef8bb5893be6e4b0b5b06a2&mpshare=1&scene=23&srcid=0319Qjem8prxgNroq9SQOTbw&sharer_sharetime=1616148789742&sharer_shareid=ff83fe2fe7db7fcd8a1fcbc183d841c4#rd

好久没发文章了,今天水一篇吧
  1. http://www.xxxxxx.com/ks/
复制代码


发现考试系统,那不得进去做一下题?

先全部输入1234,发现可以直接登录,直呼好家伙。

点击提交试卷的时候我们抓个包看看,一般这种地方会和数据库进行交互,所以得试试注入了

抓包

这个时候我们可以看到其实刚刚登录并没进数据库,而是在这里一起进去,所以当时没有出现登录失败之类的提示

而在这里可以进行注入,直接报错注入。

爆出库名

第二个点(二次注入,其实最开始发现的是这个点)
当我们提交以后
可以看到如果name是12asdf3' and 1=0 and '1'='1
可以看到回显为0


当12asdf3' and 1=1 and '1'='1
回显为1

确定了

dba权限

大量数据

看到admin表,进去admin看看
得到后台用户名密码,冲一手后台
  1. http://www.xxxxxx.com/admin/
复制代码



好家伙,只有在awd和做靶场的时候遇到,平常只出到sqli就停了,这次终于遇到教科书式的后台了。



利用CVE-2018-9175,成功执行phpinfo

CVE-2018-9175参考:
  1. https://xz.aliyun.com/t/2237
复制代码

执行payload:
  1. http://www.xxxxxxx.com/admin/sys_verifies.php?a=234&action=getfiles&refiles[]=123&refiles[]=\%22;phpinfo();die();//
复制代码



但是这个点工具连不上,而且不知道为什么 引号用了会出问题,比如echo 1234;可以 echo '1234';无回显。

希望师傅们能在评论区指点一下,当时卡了我好一会儿。

之前sql的报错注入已经有地址了,但是还是用php函数显示一下,记录一下当前路径



这种很难利用,我们可以file_put_content。
我们可以找另一种方法写shell(教科书式的修改模板)

写入一句话

使用蚁剑工具连接

提交漏洞,收工收工


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 00:41 , Processed in 0.016162 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表