实战｜记一次考试系统漏洞挖掘记录

实战｜记一次考试系统漏洞挖掘记录
2021-03-22 18:30:00 Author: mp.weixin.qq.com(查看原文) 阅读量:71 收藏

原创稿件征集

邮箱：[email protected]

QQ：3200599554

黑客与极客相关，互联网安全领域里

的热点话题

漏洞、技术相关的调查或分析

稿件通过并发布还能收获

200-800元不等的稿酬

http://www.xxxxxx.com/ks/

发现考试系统，那不得进去做一下题？

先全部输入1234，发现可以直接登录，直呼好家伙。

点击提交试卷的时候我们抓个包看看，一般这种地方会和数据库进行交互，所以得试试注入了

抓包

这个时候我们可以看到其实刚刚登录并没进数据库，而是在这里一起进去，所以当时没有出现登录失败之类的提示

而在这里可以进行注入，直接报错注入。

爆出库名

第二个点（二次注入，其实最开始发现的是这个点）

当我们提交以后

可以看到如果name是12asdf3' and 1=0 and '1'='1

可以看到回显为0

当12asdf3' and 1=1 and '1'='1

回显为1

确定了

dba权限

大量数据

看到admin表，进去admin看看

得到后台用户名密码，冲一手后台

http://www.xxxxxx.com/admin/

好家伙，只有在awd和做靶场的时候遇到，平常只出到sqli就停了，这次终于遇到教科书式的后台了。

利用CVE-2018-9175，成功执行phpinfo

CVE-2018-9175参考：

https://xz.aliyun.com/t/2237

执行payload：

http://www.xxxxxxx.com/admin/sys_verifies.php?a=234&action=getfiles&refiles[]=123&refiles[]=\%22;phpinfo();die();//

但是这个点工具连不上，而且不知道为什么引号用了会出问题，比如echo 1234;可以 echo '1234';无回显。

希望师傅们能在评论区指点一下，当时卡了我好一会儿。

之前sql的报错注入已经有地址了，但是还是用php函数显示一下，记录一下当前路径

这种很难利用，我们可以file_put_content。

我们可以找另一种方法写shell（教科书式的修改模板）

写入一句话

使用蚁剑工具连接

提交漏洞，收工收工

👇点击阅读原文，领取靶场实战39元会员！

文章来源: http://mp.weixin.qq.com/s?__biz=MjM5MTYxNjQxOA==&mid=2652872006&idx=2&sn=19f47e8229177ae5842d8a5e471c52b2&chksm=bd59e18b8a2e689d1ccc9e74e06694052df335e4fc212e97db0fba811366d8704026bf16c2ff#rd
如有侵权请联系:admin#unsafe.sh