安全矩阵

 找回密码
 立即注册
搜索
查看: 3085|回复: 0

实战 | 记一次考试系统漏洞挖掘记录

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2021-3-22 19:53:48 | 显示全部楼层 |阅读模式
原文链接:实战 | 记一次考试系统漏洞挖掘记录

  ↵http://www.xxxxxx.com/ks/
发现考试系统,那不得进去做一下题?

先全部输入1234,发现可以直接登录,直呼好家伙。

点击提交试卷的时候我们抓个包看看,一般这种地方会和数据库进行交互,所以得试试注入了

抓包

这个时候我们可以看到其实刚刚登录并没进数据库,而是在这里一起进去,所以当时没有出现登录失败之类的提示

而在这里可以进行注入,直接报错注入。

爆出库名

第二个点(二次注入,其实最开始发现的是这个点)
当我们提交以后
可以看到如果name是12asdf3' and 1=0 and '1'='1
可以看到回显为0


当12asdf3' and 1=1 and '1'='1
回显为1

确定了

dba权限

大量数据

看到admin表,进去admin看看
得到后台用户名密码,冲一手后台

http://www.xxxxxx.com/admin/

好家伙,只有在awd和做靶场的时候遇到,平常只出到sqli就停了,这次终于遇到教科书式的后台了。

利用CVE-2018-9175,成功执行phpinfo

CVE-2018-9175参考:

https://xz.aliyun.com/t/2237
执行payload:

http://www.xxxxxxx.com/admin/sys ... etfiles&refiles[]=123&refiles[]=\%22;phpinfo();die();//

但是这个点工具连不上,而且不知道为什么 引号用了会出问题,比如echo 1234;可以 echo '1234';无回显。

希望师傅们能在评论区指点一下,当时卡了我好一会儿。

之前sql的报错注入已经有地址了,但是还是用php函数显示一下,记录一下当前路径

这种很难利用,我们可以file_put_content。
我们可以找另一种方法写shell(教科书式的修改模板)

写入一句话

使用蚁剑工具连接

提交漏洞,收工收工


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 00:39 , Processed in 0.014104 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表