一次苦逼的SQL注入

0x01: 偶一打点,看到一个可爱的系统….
一次苦逼的SQL注入
文章图片



1.通过F12 把链接提出来仔细瞅瞅…
一次苦逼的SQL注入
文章图片



2.看见id,果断测注入…
一次苦逼的SQL注入
文章图片

感觉有戏
一次苦逼的SQL注入
文章图片



嗯? 啥数据库连接出错,啥意思??? (其实,这是运维做的混淆..)
一次苦逼的SQL注入
文章图片



3.这是什么操作呢? 怎么会数据库连接出错了???我最开始想的是它网站内部没有配置好,但反过来想,如果没有配置好,哪id=5也应该会出现问题才对,所以勇敢的大胆猜,这可能是是一个简单的waf,然后自定义的一个页面。
如何去验证呢? 先删删字符 看看咋回事
一次苦逼的SQL注入
文章图片
一次苦逼的SQL注入
文章图片



多半是and的出问题

一次苦逼的SQL注入
文章图片



一次苦逼的SQL注入
文章图片



4.并且他是数字型注入
编写tamper 试试把
一次苦逼的SQL注入
文章图片



一次苦逼的SQL注入
文章图片



一次苦逼的SQL注入
文章图片



好像是那个302跳转导致的…… 再手工看看这个xpshell
一次苦逼的SQL注入
文章图片



没有权限
一次苦逼的SQL注入
文章图片



5.手工先摸管理员把
一次苦逼的SQL注入
文章图片



一次苦逼的SQL注入
文章图片



6.如何让sql跑起了
直接在响应包里面让他报错,然后让sqlmap自动识别即可这个点可以记住
一次苦逼的SQL注入
文章图片



一次苦逼的SQL注入
文章图片

它的密码乱码了,咋办呢?只能
一次苦逼的SQL注入
文章图片



一次苦逼的SQL注入
文章图片



发现管理员员权限是 0
批量看下
一次苦逼的SQL注入
文章图片



发现管理员一个账户
经过测试发现,很多弱口令账户。。。登录一个管理员,点到为止….
一次苦逼的SQL注入
文章图片

一次苦逼的SQL注入
文章图片




发现可以进行改密码,改admin的密码即可。。。点到为止
里面涉及很多敏感信息,故….
(以上漏洞已报给教育src平台,并且已经修复…….)
一次苦逼的SQL注入
文章图片



总结:
1.拿不到管理员应该灵活….不一定admin才是管理员,只要最后能干到管理员就好
2.出现数据库连接错误,并不是连接数据库错误,要懂得学会判断
3.对于已经确定存在sql注入的地方,由于验证码,会发生302跳转。Sqlmap无法直接注入,可以直接让它在报错注入中注入(即在请求包为一个报错注入的包—报错一个版本就行..)

实验推荐
实验:Mssql报错注入 (合天网安实验室) 点击进入实操>>
更多网安工具及学习资料,扫码免费领:
一次苦逼的SQL注入
文章图片

【一次苦逼的SQL注入】

    推荐阅读