首先收集必要的信息
發現存在php探針,phpinfo,phpmyadmin
常用的垃圾弱口令登錄失敗。
嘗試登錄後臺,網站使用帝國cms7.2系統
弱口令登錄失敗,使用網絡上帝國cms的通用漏洞,行不通失敗。
在知道絕對路徑的情況下,dba權限的sql注入可以直接執行os-shell命令拿shell(下載帝國下來看!)。
掃描開放端口,反查域名,尋找最可能存在sql注入的網站。
經過多次嘗試,發現了一個聯合查詢型。且爲dba權限的注入點。
sql注入的利用
已知絕對路徑,且注入點爲dba權限,在平時的大多數滲透中,就已經意味着getshell了。
然而,在這次滲透中,os-shell並沒有執行成功。
經過多次嘗試都以失敗告終,猜測某種waf起了作用。
嘗試使用sqlmap的寫文件命令(--file-write 本地文件地址 --file-dest 寫入地址),直接寫入文件到網站目錄下。沒有找到文件,多次嘗試sqlmap無法成功寫入文件。
嘗試使用sql-shell執行sql語句寫入文件。失敗,顯示不支持非查詢語句。
肉到嘴邊喫不到呢,這感覺不好,sqlmap中所有能getshell的方法,都試的差不多了,依然沒有成功。
這時突然想起了網站存在phpmyadmin,也許可以通過phpmyadmin拿shell。
不知道數據庫密碼,需要通過sqlmap的--file-read命令讀取網站的配置文件。一般情況下網站配置文件的位置是沒法確定的,然而,網站使用了帝國cms,一般配置文件的位置是固定的。帝國cms7.0後配置文件在e/config/config.php
成功讀取到網站配置信息。
phpmyadmin的利用
使用獲取到的密碼登錄phpmyadmin
執行sql語句寫入文件。
執行成功。
訪問生成的文件,可以訪問到。