【注入+找后台+getshell失败】记一次曲折的渗透

　　【前言】今天在群里看见有个朋友丢了个网站，我打开一看，是一个mysql+php的站，测试注入漏洞：

　　0x1判断字段长度：

　　(1)order by 7 返回正常

　　

　　(2)order by 8 返回错误

　　

　　(3)说明：字段有7个，并且报错爆出来绝对路径，如果运气好的话，root权限直接写shell。

　　0x2联合查询爆出显位：

　　

　　没有爆出来显位，好吧， 在参数后面加一个负号让他报错就可了。

　　

　　0x3查询信息:

　　

　　我擦，真的是root权限呀， 走狗屎运了，直接用load_file写shell吧，绝对路径都有了，这么容易就拿下了，哈哈.....

　　0x4测试是否有写入权限：

　　

　　失败了。咋回事呢?是不是我语句错了?百度查了一下，对了下笔记，都没错，丢给机油explo1t试试，他也说失败了，并且sqlmap的--os-shell也失败了。还是安安分分注入密码，登录后台拿shell吧。

　　0x5爆表名

　　(1)查询一下数据库名称：

　　

　　(2)数据库名称编码

　　

　　(3)爆表名：

　　

　　怎么会?居然爆表名也失败了，额，难怪root权限不能写shell，估计站长也是个大神吧，这里也进行过滤了，那我丢神器sqlmap试试。

　　0x6 SQLMAP跑帐号密码

　　

　　这里注入出了列名Admin 和 表名Admin_Name,Admin_Pass了，但是SQLmap跑Admin_Pass的时候太慢了，这时候等的有点不耐烦，试试直接用联合查询，看看能不能爆出密码

　　

　　靠，这是怎么回事?爆表名，爆列名都失败了，却能查数据。好吧，拿去解密登录后台拿shell吧，等把源码打包下来再研究为什么吧。

　　0x7解密

　　

　　丢给朋友解密一下，拿到密码greena_2012，找后台吧。

　　1x1后台查找

　　(1)查看首页，以及猜解都无果。

　　(2)谷歌黑客之：

　　

　　难道这就是后台?打开看看。

　　

　　醉了，这是干啥呢?貌似是一个扫数据库的字典嘛，看了看，实在不知道有什么用。

　　(3)扫描目录吧：

　　

　　我去，这个是啥?源码打包文件?管他呢，下载来看看吧。下载一看，果然是源码，找后台吧。

　　(4)分析源码找到后台：

　　

　　这里貌似是管理员的php脚本目录，但是哪个是登录页面呢?这么看了一下，貌似没有登录的页面。不过看到manager_list.php，我想应该是管理员列表吧，打开看看吧。

　　

　　禁止非法登录?估计是跳转到登录页面吧：

　　

　　哈哈，搞到了，登录后台，准备拿shell吧。

　　3x1后台拿shell：

　　(1)后台登录成功

　　

　　先分析一下功能，根据功能想拿shell的方法：

　　

　　kindeditor，版本也比较老了，估计百度漏洞也不少吧，先上传个图片探探路。

　　

　　失败了，瞬间感觉无语，看看其他地方吧。

　　

　　又一个上传点，上传一个图片探探路：

　　

　　又失败了。

　　3x2分析源码找上传点：

　　(1)kindeditor示例上传页面：

　　

　　失败。

　　(2)kindeditor的文件管理页面：

　　

　　但是啥也没有，瞬间感觉所有的上传点都废了。

　　(3)kindeditor的上传按钮：

　　

　　

　　但是又失败了，估计是没办法突破吧。

　　(4)批量图片上传：

　　

　　失败。

　　====================================================

　　去看看旁站，c段能否拿下，这里就先不写了。

原文地址:https://hack.77169.com/201602/224702.shtm