实战 | 记一次考试系统漏洞挖掘记录

江西新闻新闻 / 来源:HACK学习呀 发布日期:2021-04-04 15:39:13 热度:171C
敬告:本站部分内容转载于网络,若有侵权、侵害您的利益或其他不适宜之处,请联系我们,本站将立即删除。
联系邮箱:2876218132#qq.co m
本页标题:实战 | 记一次考试系统漏洞挖掘记录
本页地址:http://www.jxbbs.cc/61462-1.html
相关话题:考试系统
#考试系统# 实战 | 记一次考试系统漏洞挖掘记录

好久没发文章了,今天水一篇吧
http://www.xxxxxx.com/ks/
发现考试系统,那不得进去做一下题?

先全部输入1234,发现可以直接登录,直呼好家伙。
点击提交试卷的时候我们抓个包看看,一般这种地方会和数据库进行交互,所以得试试注入了

抓包

这个时候我们可以看到其实刚刚登录并没进数据库,而是在这里一起进去,所以当时没有出现登录失败之类的提示
而在这里可以进行注入,直接报错注入。
爆出库名

第二个点(二次注入,其实最开始发现的是这个点)
当我们提交以后
可以看到如果name是12asdf3 and 1=0 and 1=1
可以看到回显为0

 
当12asdf3 and 1=1 and 1=1
回显为1

确定了

dba权限

大量数据

看到admin表,进去admin看看
得到后台用户名密码,冲一手后台
http://www.xxxxxx.com/admin/

好家伙,只有在awd和做靶场的时候遇到,平常只出到sqli就停了,这次终于遇到教科书式的后台了。

利用CVE-2018-9175,成功执行phpinfo


CVE-2018-9175参考:
https://xz.aliyun.com/t/2237
执行payload:
http://www.xxxxxxx.com/admin/sys_verifies.php?a=234&action=getfiles&refiles[]=123&refiles[]=";phpinfo();die();//

但是这个点工具连不上,而且不知道为什么 引号用了会出问题,比如echo 1234;可以 echo 1234;无回显。
希望师傅们能在评论区指点一下,当时卡了我好一会儿。
之前sql的报错注入已经有地址了,但是还是用php函数显示一下,记录一下当前路径

这种很难利用,我们可以file_put_content。
我们可以找另一种方法写shell(教科书式的修改模板)

写入一句话

使用蚁剑工具连接

提交漏洞,收工收工

推荐阅读:
漏洞挖掘 | 登录某大学VPN系统
实战 | 记某色X商城支付逻辑漏洞的白嫖
记一次漏洞挖掘实战之木桶短板

点赞 在看 转发


原创投稿作者:硝基苯

论坛
  阅读原文
支持0次 | 反对0次  
  用户评论区,文明评论,做文明人!

通行证: *邮箱+888(如:123@qq.com888)