记一次某大学sql注入到getshell

野性酷女 2024-04-07 10:34 154阅读 0赞

0x01 前言

目标是一大学,在一次挖洞过程中遇到个sql注入,尝试进一步利用扩大危害,漏洞已报送平台进行了修复

0x02 sql注入getshell失败

在id处连续加两个单引号都报错,经过探测发现是数字型的注入且过滤了空格,这里可以用/**/代替

d2d05725ecdf74a63489ff2ed6b3b040.png

8b87e82b6f631949f8b4d5be638811fc.png
于是直接上sqlmap

  1. python sqlmap.py -u url --batch --tamper=space2comment.py dbs

0bc3f00cfb435ba7bbd455cb8ae0ac86.png

发现是dba权限:

  1. python sqlmap.py -u url --batch --tamper=space2comment.py --is-dba

d170e876348226a3de8b31d7c6d82917.png

试了很多方法找web路径
最后注意到操作系统是FreeBSD
无意中看到这个 562052762d0732e9acc2e45da8140653.png
char(47)就是’/’,立马想到可以通过这个遍历目录、找路径 ac977fceaff4fa01daaa98841d4b7a7c.png
通过从根目录开始逐层遍历,最终找到网站根目录: 153c913aa20d347090e1cb0d6f3719ca.png
写入shell失败,转换成16进制规避单引号还是不行
但是这个注入可以读取服务器上的任意敏感文件(包括非web目录),危害巨大

0x03 从其它点继续尝试

读取sql注入处代码,发现并没有代码层面的过滤,explode() 函数把字符串打散为数组,这里以空格为分隔,取数组的第一个,变相地过滤了空格,把空格换成内联注释就能注入

e0c39b62bbe33346137d352e53964f3d.png

根据泄露的数据库账号、密码尝试连接3306端口失败,估计绑定了本地ip
继续遍历目录,发现了mysql的登陆界面 ef4df9941ebc20314de4163657f0714b.png
登录之后却是空白界面,读取处理登录逻辑的代码发现登陆成功直接设置session但不跳转,登陆后直接访问首页就行
查一下secure_file_priv,发现是空值,并没有限制 ea36811b5a1161efda7d99e808923258.png
尝试利用日志写入webshell,发现没有权限设置日志路径 84feae98c11c1cb7a555d38590ec99f2.png 103c78be4c80f30c59c4283c820d3ffe.png
找到了网站后台 16f136b238bcd121ed67dda95355f492.png
数据库里面查到的账号和密码hash值
在线网站解密hash值得到明文
登录失败,读取一下源码 2fcfff27837441b3e43962a6a2c11385.png 06cd98ebc18f652441385926b7419a65.png
发现是加了盐的,于是加盐再解密得到正确密码
成功登陆后在人員資料管理新增处发现一个上传照片的地方 676b0a351d71aaf1a2440c375c04850d.png
但是只能上传图片文件 6f867bb5776f072600a224e7d13d9612.png
上传成功之后,突然想到了sql写shell失败是不是因为目录权限问题,网站限制了除上传目录外其它目录都不可写?

于是尝试写入shell

c413a915aa6c9c7d28930bd59b114b01.png

成功,果然是目录写权限问题 1b5641f572019280b07c149a07e69454.png
发现蚁剑连不上,估计waf拦截了流量。看了一下蚁剑的流量加密,蚁剑流量有一个重要特征就是User-Agent为antSword/版本,另外使用了编码器的话还要将解码函数发过去,所以解码函数这里也是一个特征,需要自定义编码器和解码器。
修改antSword-master/modules/request.js和antSword-master/modules/update.js两个文件的User-Agent后成功连接,waf仅仅拦截了UA这一明显特征 62c72ee2454d04cad68f4e4f9787a4eb.png
反弹shell失败,nc是基于tcp/udp协议的,所以可能的原因有:反弹的命令不存在、禁止出站IP、禁止tcp协议出站端口
确认sh存在: 07ae1d9c9eaae8b6428303a1e5398371.png
出站端口为访问外网,查询网络连接发现54454端口可以出站 76c6f186d3db0be82a6d9291cb19ff6a.png
于是监听54454端口后成功反弹shell 1d484212f660c754409aaaf8afcb92b0.png
提权失败。服务器内核版本过高,无法利用内核漏洞提权,尝试计划任务、环境变量、和suid提权发现没有可以利用的地方,sudo提权也不行,第三方服务中udf提权发现插件目录不可写,几个文件权限也配置正常,也没有发现其它敏感信息泄露

0x04 总结

1.目标系统中加单引号报错,但是过滤空格,可以用/**/代替绕过

2.使用sqlmap中的space2comment.py脚本进行注入

python sqlmap.py -u http://ip/newform.php?id=123 —batch —tamper=space2comment.py –dbs //读取数据库名

python sqlmap.py -u http://ip/newform.php?id=123 —batch —tamper=space2comment.py —is-dba //查看是否为dba,该系统是dba权限

3.通过NAMP扫描,目标系统是freedb(sunos也可以),可以同构load_file()函数直接遍历目录

3.通过load_file()函数逐渐读取目标系统目录

http://ip/newform.php?id=123/\*\*/union/\*\*/select/\*\*/1,LOAD\_FILE('/'),3,4,5,6,7,8

3.读取到网站根目录

http://ip/newform.php?id=123/\*\*/union/\*\*/select/\*\*/1,LOAD\_FILE('/home/db/www/'),3,4,5,6,7,8

4.写入webshell失败,尝试读取数据库配置文件。显示了网站的数据库的用户名和密码

http://ip/newform.php?id=123/\*\*/union/\*\*/select/\*\*/1,LOAD\_FILE('/home/db/www/ncuoga/cbg/oga/newsform.php'),3,4,5,6,7,8

5.继续通过LOAD_FILE目标遍历,发现在根目录下存在pmbp数据库管理的页面,通过读取到的数据库和用户名和密码,登录pmbp数据库管理员页面,但是显示空白不能跳转到后台管理页面,直接访问数据库管理页面。

6.查询SQL语句查询权限,显示空置,并没有对写入进行限制

show VARIABLES LIKE “secure_file_priv”

7.但是通过mysql的log写入shell,是不成功的,可能对写入的目录权限有限制。

8.通过目录扫描,找到目录系统的后台管理,这里的后台用户名和密码,可通过sqlmap直接读取出用户名和密码hash

,密码hahs直接通过md5进行成功解密,不能成功登陆到系统,可能密码不对。

9.通过load_file()函数读取后台管理页面,发现密码是加盐的,这里加盐再解密得到正确密码,并成功登陆到目标后台

10.在后台的资料管理的照片处,可直接上传图片,并显示图片的绝对路径地址。

11.参数通过mysql将蚁剑一句话写入到图片的绝对路径地址下。可成功写入

12.通过蚂剑连接一句话,但是显示连接不成功,可能被WAF拦截了,这里需要修改蚂剑的User-Agent,以及使用编码器baa64的编码绕过WAF拦截,并成功链接。

修改antSword-master/modules/request.js和antSword-master/modules/update.js两个文件的User-Agent后成功,并使用码编码bas64

13.通过nc进行反弹,发现反弹失败,发现目标系统禁止出站IP、禁止tcp协议出站端口,并发现出站端口为访问外网,查询网络连接发现54454端口可以出站。

nc -lvvp 544454

原文链接: https://xz.aliyun.com/t/10527

发表评论

表情:
评论列表 (有 0 条评论,154人围观)

还没有评论,来说两句吧...

相关阅读