注入島國(guó)網(wǎng)站，技術(shù)菜鳥(niǎo)第一次....

作者：panda

原文地址：https://forum.90sec.com/t/topic/1316

文末送書(shū)福利

1.打開(kāi)了谷歌hack 數(shù)據(jù)庫(kù)

2.在谷歌中漫步，看到幾個(gè)?id=XXX結(jié)尾的網(wǎng)址，加’ 出現(xiàn)報(bào)錯(cuò)，也有好幾個(gè)注入點(diǎn)，是打開(kāi)后就可以看到mysql的報(bào)錯(cuò)信息。

其中有一個(gè)越南的公益網(wǎng)站，應(yīng)該是停止維護(hù)了，但還是給管理員發(fā)送了提醒注入漏洞的郵件。最后選了一個(gè)島國(guó)信息網(wǎng)站，開(kāi)始愉快的一天。

3.直接丟給了sqlmap自動(dòng)注入，與此同時(shí)使用

Nikto 和nmap 進(jìn)行信息搜集，因?yàn)槭切率?，全?-help看的基礎(chǔ)命令

Nikto -h 127.127.127.127

Nmap -v -A 127.0.0.1

用sqlmp -u “http://url” --os-shell ，卻發(fā)現(xiàn)找到了根目錄但是沒(méi)法上傳文件，最后確認(rèn)是mysql沒(méi)有寫(xiě)入當(dāng)前目錄的權(quán)限。

Sql一直在提示上傳失敗

[WARNING] it looks like the file has not been written (usually occurs if the DBMS process user has no write privileges in the destination path)

sqlmp -u “http://url” --sql-shell發(fā)現(xiàn)是可以用sql-shell。

使用select into語(yǔ)句寫(xiě)文件和update語(yǔ)句

也是失敗，提示

于是通過(guò) select @@datadir?和select @@basedir?獲得了mysql安裝的目錄和數(shù)據(jù)目錄

分別為/usr 和/var/lib/mysql

4.嘗試下載apache配置文件和mysql配置文件。

嘗試下載Apache 2.2.2的默認(rèn)配置文件（這個(gè)全靠運(yùn)氣了感覺(jué)）

不斷的嘗試

Sqlmap -u “url” --file-read=”文件路徑”

得到apache和mysql的文件內(nèi)容（關(guān)鍵）

Apache配置文件（敏感信息泄露）

5.sql注入獲取webshell的關(guān)鍵在我看來(lái)就是，能找到可以寫(xiě)入文件的目錄且有可以執(zhí)行的方式。

所以在不斷切換apache的目錄后，終于找到了，可以用目前sql注入點(diǎn)，寫(xiě)入文件，并且訪問(wèn)的目錄。

通過(guò)不斷嘗試，sqlmap 手動(dòng)設(shè)置目標(biāo)目錄和上傳文件，終于找到了有權(quán)限的目錄。

上傳失敗的截圖：

成功的截圖：

6.中途在上傳失敗的時(shí)候嘗試進(jìn)行源碼分析，發(fā)現(xiàn)了mysql的數(shù)據(jù)庫(kù)密碼，但是無(wú)法遠(yuǎn)程連接。

7.也嘗試了對(duì)10000端口的web服務(wù)的密碼爆破，使用了burpsuite.

密碼字典只是用了sqlmap -u ‘url’ --users 獲取的用戶(hù)名+mysql的配置文件里面的敏感信息。

關(guān)注公眾號(hào)：程序員開(kāi)源社區(qū)，回復(fù)：666領(lǐng)取資料 。

但實(shí)際上，只跑了三次，就出現(xiàn)了攔截。

實(shí)際返回，被攔截了，所以這個(gè)行不通。

8.查看代碼的時(shí)候發(fā)現(xiàn)了一個(gè)執(zhí)行漏洞，也進(jìn)行了嘗試，但sqlmap-shell沒(méi)法執(zhí)行update語(yǔ)句，這點(diǎn)我也很疑惑。

從這個(gè)代碼上來(lái)看，一定是有辦法把linux的find命令截?cái)?，然后?zhí)行任意代碼的。只需要構(gòu)造好folder的值。

但是在sqlmap的sqlshell中沒(méi)法執(zhí)行upate命令，無(wú)法修改這個(gè)字段的值。

這點(diǎn)我也很困惑，同樣困惑的是，既然我有了sqlshell的root命令權(quán)限，為啥還要獲取mysql的root密碼，甚至還得查md5，我自己insert一個(gè)不行嗎？

前輩們的教程都是這樣的，盲人摸象。希望能有機(jī)會(huì)獲得注冊(cè)碼進(jìn)一步學(xué)習(xí)。

9.后續(xù)提權(quán)的思路

vsftp 2.2.2，直接在metasploit中search svftp,并沒(méi)有嘗試，作為一個(gè)靶機(jī)訓(xùn)練，有webshell就可以止步，系統(tǒng)漏洞，這種感覺(jué)比較老的系統(tǒng)，也有不少吧。

總結(jié)：

比較low的一個(gè)sql注入點(diǎn)，但是sqlmap無(wú)法獲取準(zhǔn)確的上傳路徑和執(zhí)行路徑，好在有sqlmap --file-read 所有文件的權(quán)限，

所以根據(jù)apach 2.2.2 centos的常用配置和sql-shell獲取的安裝目錄，猜解apache和mysql的配置文件地址，apache的配置文件里面的敏感信息還是比較多的。

最近整理一份小白入門(mén)黑客資料《初學(xué)者如何入門(mén)黑客教程》，覆蓋了網(wǎng)絡(luò)滲透、網(wǎng)絡(luò)攻擊、防御、各種黑客常用工具入門(mén)等等。
獲取方式：關(guān)注公眾號(hào)并回復(fù)?黑客?領(lǐng)取，更多內(nèi)容陸續(xù)奉上。

- 完 -
贈(zèng)書(shū)福利
贈(zèng)送新書(shū)《Python量化金融編程從入門(mén)到精通》共5本，剛剛上架！由「?北京大學(xué)出版社」贊助提供?，感興趣的朋友推薦入手一本。

量化交易領(lǐng)域的飛速發(fā)展，得到了越來(lái)越多業(yè)內(nèi)外人士的關(guān)注。而Python作為一門(mén)功能強(qiáng)大且易于上手的編程語(yǔ)言，可以快速將想法付諸實(shí)踐。因此，本書(shū)希望可以引領(lǐng)讀者初步了解量化交易，并借助Python這個(gè)工具在該領(lǐng)域有所建樹(shù)。
本書(shū)先從量化交易的基本概念講起，然后講解Python的基本語(yǔ)法及常見(jiàn)庫(kù)的使用，在每章節(jié)的學(xué)習(xí)中都以金融量化為實(shí)例，并在后結(jié)合實(shí)戰(zhàn)項(xiàng)目來(lái)進(jìn)行學(xué)習(xí)和鞏固，讀者不但可以系統(tǒng)地學(xué)習(xí)Python編程的相關(guān)知識(shí)，而且還能學(xué)習(xí)到Python在量化交易場(chǎng)景下的應(yīng)用。
本書(shū)內(nèi)容通俗易懂，案例豐富，適合零基礎(chǔ)并對(duì)Python量化感興趣的讀者，以及想學(xué)習(xí)量化交易實(shí)戰(zhàn)項(xiàng)目的Python初學(xué)者。此外，本書(shū)也適合作為相關(guān)培訓(xùn)機(jī)構(gòu)的培訓(xùn)教材。

同樣這次準(zhǔn)備了2種方式抽獎(jiǎng)，「評(píng)論點(diǎn)贊、朋友圈點(diǎn)贊」這兩種方式都可以參與！感謝親愛(ài)的讀者們，你們的支持也是我持續(xù)更文最大的動(dòng)力。
本次開(kāi)獎(jiǎng)時(shí)間為 2021.12.24 14:00
為了避免中獎(jiǎng)后失聯(lián)，提前加我微信號(hào)：itcodexy 。
留言點(diǎn)贊（3本）
本文留言需要根據(jù)文章的內(nèi)容留言會(huì)更大可能被精選，留言點(diǎn)贊數(shù)「第一、二、三名」可獲得一本《Python量化金融編程從入門(mén)到精通》
PS：買(mǎi)點(diǎn)贊數(shù)等作弊無(wú)效，一切解釋權(quán)歸程序IT圈所有，留言點(diǎn)贊之前中過(guò)獎(jiǎng)的朋友，1年內(nèi)不得再參與，給新朋友一些機(jī)會(huì) ?。ń?jīng)常發(fā)現(xiàn)點(diǎn)贊中獎(jiǎng)的總是那些熟悉的面孔）
朋友圈點(diǎn)贊抽獎(jiǎng)（2本）
記得先添加我微信，不然參加不了這個(gè)朋友圈活動(dòng) 。
大獎(jiǎng)：本文章我會(huì)在下午6點(diǎn)左右轉(zhuǎn)發(fā)朋友圈，給第n位(具體數(shù)值看朋友圈發(fā)布時(shí)的規(guī)則)點(diǎn)贊朋友圈的同學(xué)送出一本?《Python量化金融編程從入門(mén)到精通》，共2位。
明天見(jiàn)(??ω??)??