曲折的sql注入getshell【已通过】

开局一个静态页,但有一个我要查功能,连接了好多分站,分站测试无果,发现下面有更多功能,柳暗花明,点开又发现众多分站,逐个测试。

XX系统 Xx查询 XX系统
XX系统 Xx查询 XX系统
XX系统 Xx查询 更多功能

更多功能中发现被测站点,链接过去后主页类似下图

XX在线管理 XX查询

Xx在线管理,肯定是首先用你下手,点进去发现只有用户名,密码,无人机交互验证,各种爆破,无果。这时底下几个大字提醒了我

1

点进去后弹框提示,用户名为单位的汉字全称,例如【XX公司】。密码可以使用系统的默认密码!忘记密码请联系技术支持

2

系统默认密码,肯定不会太难,无非就是123456,888888这种

使用提示用户名加简单密码,成功登录。

登录后就是找到了几个上传点,逐个测试,各种绕过,无果。

转到修改密码处,尝试输入错误原密码,发现如下提示。

6bfd9c15-e6c0-49c7-9333-858a9dd15127.003

抓包,并把原密码打*,放到sql里面跑。

有结果!但是延时注入,直接尝试os-shell,等很久跑出sqlserver路径,但太慢了,加上有waf,导致结果很不准,到这,起码证明了有sql注入漏洞。

但要进一步利用,传shell,需要知道网站物理路径,使用系统的各种报错,都无法爆出物理路径。

通过os-shell逐个目录cd、dir,估计等找到,管理员早就发现了,很难过。

又回到最初的起点,但既然这个站有注入,与他一起的另一个XX查询,会不会也有注入,抓包,sqlmap跑,如愿以偿。

XX在线管理 XX查询

而且这次还有union注入,舒服了。

想着通过union注入翻网站跟目录,直接传shell一把梭哈。

但是!dir路径发现他这个路径名全是中文,导致sql无法读取,这就很难受了,可能是编码问题,有知道的大佬求赐教,dir出来有这个目录,但是没法继续dir了,英文文件名就没有问题,中文就不行,后期冰蝎马连上后也有这个问题。

网上查找各种方法,无果,后来想到有个tree命令可以列出所有文件夹,类似下图这种,也算个笨方法,就这样等了很久,把所有盘所有文件夹都列出来了。

9

但是想用sqlmap上传文件发现,有路径中有中文还是无法上传,脑袋疼。

祭出第二款神器超级SQL注入工具,发现只能识别出盲注,可能是我不太会用。

通过url找文件夹名,上传txt,访问,最终确认了网站根目录,类似这种D:\XX管理系统\web\查询\,直接上传冰蝎马,成功连接。

ipconfig发现只有内网网卡。

netstat -ano发现目标开放3389端口,但从外网环境无法访问。
whoami发现是管理员权限,添加账号,加到管理员组。
但是!冰蝎也无法正常读取中文?估计是网站编码有些问题。

只能通过超级SQL注入工具上传reGeorg木马,讲内网环境带出来,通过代理访问本机ip3389,使用添加的账户成功登录。
因为客户说内网不让继续渗透了,所以渗透到此为止。

  • 通过
  • 未通过

0 投票者

中文我记得要编码一下,虽然可以执行命令但实际还是web去请求。

查找路径 也可以试一下命令 where /r c:\wwwroot\ *.php

抱歉,你不能在帖子中嵌入媒体项目。

什么意思 怎么我发不了帖子啊

可能你没有办法发表视频之类的帖子吧

不是哦 我就发的图片。。。

那可能你所在用户组 图片不支持外链 直接上传就行 这个楼主以前和你一样的用户组 他都可以发帖

我就是直接上传的哦

测试了一下 发表主题是没有问题的 回复不行
调整了一下,现在已经允许回复带有图片了

师傅,我发账号审核的主题,发不了,想问下是哪里操作错了吗

已经调整 你可以再试一试

可以了 谢谢师傅

遇见中文路径,抓包hex编码试试